Misy ny famoahana ny fikojakojana ny tranomboky kriptografika OpenSSL 3.0.1 sy 1.1.1m. Ny version 3.0.1 dia mamaha ny vulnerability (CVE-2021-4044), ary misy bibikely am-polony eo ho eo no raikitra amin'ny famoahana roa.
Ny vulnerability dia misy amin'ny fampiharana ny mpanjifa SSL / TLS ary noho ny zava-misy fa ny tranomboky libssl dia tsy miraharaha ny soatoavin'ny kaody diso ratsy naverin'ny X509_verify_cert() asa, antsoina hanamarina ny taratasy fanamarinana natolotry ny mpizara. Ny kaody ratsy dia averina rehefa misy lesoka anatiny, ohatra, raha tsy azo atao ny manome fahatsiarovana ho an'ny buffer. Raha averina ny fahadisoana toy izany, ny antso manaraka amin'ny fiasa I/O toy ny SSL_connect() sy SSL_do_handshake() dia hamerina ny tsy fahombiazana ary ny kaody fahadisoana SSL_ERROR_WANT_RETRY_VERIFY, izay tokony haverina raha toa ka efa nanao antso tamin'ny SSL_CTX_set_cert_verify_callback() ny fampiharana teo aloha. .
Satria tsy miantso SSL_CTX_set_cert_verify_callback() ny ankamaroan'ny rindranasa, dia mety ho diso hevitra ny fisian'ny hadisoana SSL_ERROR_WANT_RETRY_VERIFY ary mety hiteraka fianjerana, fihodinana, na fihetsika tsy mety hafa. Ny olana dia mampidi-doza indrindra miaraka amin'ny bug hafa ao amin'ny OpenSSL 3.0, izay mitarika ho amin'ny hadisoana anatiny rehefa X509_verify_cert() dia manao certificat tsy misy fanitarana "Subject Alternative Name", fa miaraka amin'ny famatorana anarana amin'ny famerana ny fampiasana. Amin'ity tranga ity, ny fanafihana dia mety hiteraka anomaliana miankina amin'ny fampiharana amin'ny fanodinana taratasy fanamarinana sy ny fametrahana fivoriana TLS.
Source: opennet.ru