Ny famoahana fanitsiana ny tranomboky kriptografika OpenSSL 1.1.1l dia azo alaina miaraka amin'ny fanafoanana ireo vulnerability roa:
- Ny CVE-2021-3711 dia fihoaram-pefy amin'ny fehezan-dalΓ na mampihatra ny algorithm kriptografika SM2 (fahita any Shina), izay mamela hatramin'ny 62 bytes hosoratana amin'ny faritra mihoatra ny sisin'ny buffer noho ny fahadisoana amin'ny kajy ny haben'ny buffer. Ny mpanafika dia mety hahatratra ny famonoana kaody na ny fianjeran'ny fampiharana amin'ny alΓ lan'ny fandefasana angon-drakitra decoding manokana amin'ny rindranasa izay mampiasa ny fiasa EVP_PKEY_decrypt() hamadika ny angona SM2.
- CVE-2021-3712 dia fikorianan'ny buffer ao amin'ny kaody fanodinana kofehy ASN.1, izay mety hiteraka fianjeran'ny fampiharana na hanambara ny ao anatin'ny fitadidiana dingana (ohatra, hamantarana ireo fanalahidy voatahiry ao anaty fitadidiana) raha toa ka mahavita mamorona ny mpanafika. tady ao amin'ny rafitra ASN1_STRING anatiny. tsy tapitra amin'ny tarehin-tsoratra tsy misy dikany, ary alaivo amin'ny fiasa OpenSSL izay manonta mari-pankasitrahana, toy ny X509_aux_print(), X509_get1_email(), X509_REQ_get1_email() ary X509_get1_ocsp().
Nandritra izany fotoana izany, navoaka ny dikan-teny vaovao amin'ny tranomboky LibreSSL 3.3.4 sy 3.2.6, izay tsy milaza mazava ny vulnerability, fa raha jerena ny lisitry ny fanovana dia nesorina ny vulnerability CVE-2021-3712.
Source: opennet.ru