Kei te waatea te tuku tiaki o te whare pukapuka cryptographic OpenSSL 1.1.1k, e whakatika ana i nga whakaraeraetanga e rua kua whakatauhia he taumata taumaha teitei:
- CVE-2021-3450 - Ka taea te karo i te manatokotanga o te tiwhikete mana tiwhikete ina whakahohea te haki X509_V_FLAG_X509_STRICT, kua monoa na te taunoa ka whakamahia hei tirotiro ano i te aroaro o nga tiwhikete kei roto i te mekameka. I whakaurua te raruraru i roto i te whakatinanatanga o OpenSSL 1.1.1h o te haki hou e aukati ana i te whakamahi tiwhikete i roto i te mekameka e whakawaehere ana i nga tawhā pihi porowhita.
Na te hapa i roto i te waehere, ka whakakorehia e te haki hou te hua o te haki i mahia i mua mo te tika o te tiwhikete mana tohu. Ko te mutunga mai, ko nga tiwhikete kua whakamanahia e tetahi tiwhikete haina-whaiaro, kaore i honoa e te mekameka whakawhirinaki ki tetahi mana tiwhikete, i tino pono. Ko te whakaraeraetanga karekau e puta mena kua tautuhia te tawhā "whakaaro", kua tautuhia ma te taunoa i roto i nga tikanga whakamana tiwhikete a te kiritaki me te tūmau i libssl (whakamahia mo TLS).
- CVE-2021-3449 – Ka taea te tukinga o te tūmau TLS ma te tuku karere a ClientHello motuhake. Ko te take e pa ana ki te tohu tohu NULL i roto i te whakatinanatanga o te toronga waitohu_algorithms. Ko te take anake ka puta i runga i nga kaitoro e tautoko ana i te TLSv1.2 me te whakaahei i te whiriwhiringa ano o te hononga (ka taea te taunoa).
Source: opennet.ru