Ko te tuku whakatika o te whare pukapuka cryptographic OpenSSL 1.1.1l e waatea ana me te whakakore i nga whakaraeraetanga e rua:
- Ko te CVE-2021-3711 he putunga putunga i roto i te waehere e whakatinana ana i te SM2 cryptographic algorithm (he mea noa i Haina), e taea ai te tuhirua ki te 62 paita ki tetahi waahi kei tua atu i te rohe o te parepare na te hapa i te tatau i te rahi o te paita. Ka taea pea e te kaitukino te whakatutuki i te mahi waehere, i te tukinga tono ranei ma te tuku i nga raraunga wetewete i hangaia ki nga tono e whakamahi ana i te mahi EVP_PKEY_decrypt() hei wetemuna i nga raraunga SM2.
- Ko te CVE-2021-3712 he putunga putunga i roto i te waehere tukatuka aho ASN.1, ka raru te tono, ka kitea ranei nga ihirangi o te mahara tukanga (hei tauira, ki te tautuhi i nga taviri kei te rongoa i roto i te mahara) mena ka taea e te kaiwhaiwhai te whakaputa. he aho i roto i te hanganga ASN1_STRING o roto. kaore e whakamutua e te ahua kore, ka tukatuka i roto i nga mahi OpenSSL e ta ana i nga tiwhikete, penei i te X509_aux_print(), X509_get1_email(), X509_REQ_get1_email() me X509_get1_ocsp().
I te wa ano, i tukuna nga putanga hou o te whare pukapuka LibreSSL 3.3.4 me 3.2.6, kaore i te tino whakahuahia nga whakaraeraetanga, engari ma te whakatau i te rarangi o nga huringa, kua whakakorehia te whakaraeraetanga CVE-2021-3712.
Source: opennet.ru