OpenSSL cryptographic library 1.1.1k ၏ ပြုပြင်ထိန်းသိမ်းမှု ထုတ်ဝေမှုကို ရနိုင်ပြီး၊ ပြင်းထန်မှုအဆင့် သတ်မှတ်ထားသည့် အားနည်းချက်နှစ်ခုကို ပြုပြင်ပေးသည်-
- CVE-2021-3450 - X509_V_FLAG_X509_STRICT အလံကို ဖွင့်ထားသောအခါတွင် အသိအမှတ်ပြုလက်မှတ်၏ အခွင့်အာဏာကို အသိအမှတ်ပြုလက်မှတ်ကို ကျော်ဖြတ်နိုင်သည်၊ ၎င်းသည် မူရင်းအတိုင်း ပိတ်ထားပြီး ကွင်းဆက်တွင် လက်မှတ်များ၏ ပါဝင်မှုကို ထပ်လောင်းစစ်ဆေးရန်အတွက် အသုံးပြုပါသည်။ ပြဿနာကို OpenSSL 1.1.1h ၏ elliptic curve parameters များကို ကုဒ်လုပ်ထားသော ကွင်းဆက်တစ်ခုရှိ လက်မှတ်များအသုံးပြုခြင်းကို တားမြစ်သည့် စစ်ဆေးချက်အသစ်ကို အကောင်အထည်ဖော်မှုတွင် ပြဿနာကို မိတ်ဆက်ခဲ့သည်။
ကုဒ်တွင် အမှားအယွင်းတစ်ခုကြောင့်၊ ချက်လက်မှတ်အသစ်သည် အသိအမှတ်ပြု အာဏာပိုင်လက်မှတ်၏ မှန်ကန်မှုအတွက် ယခင်က လုပ်ဆောင်ခဲ့သော စစ်ဆေးမှုရလဒ်ကို ကျော်လွန်သွားပါသည်။ ရလဒ်အနေဖြင့်၊ ယုံကြည်စိတ်ချရသောကွင်းဆက်တစ်ခုမှချိတ်ဆက်ခြင်းမရှိသော ကိုယ်တိုင်ရေးထိုးထားသောလက်မှတ်မှအသိအမှတ်ပြုလက်မှတ်များကို အသိအမှတ်ပြုလက်မှတ်များကို အပြည့်အဝယုံကြည်ထိုက်သူအဖြစ် မှတ်ယူသည်။ libssl (TLS အတွက်အသုံးပြုသည်) တွင် client နှင့် server လက်မှတ်အတည်ပြုခြင်းလုပ်ငန်းစဉ်များတွင် ပုံသေသတ်မှတ်ထားသည့် "ရည်ရွယ်ချက်" ပါရာမီတာကို သတ်မှတ်ပါက အားနည်းချက်ပေါ်လာမည်မဟုတ်ပါ။
- CVE-2021-3449 - အထူးဖန်တီးထားသော ClientHello မက်ဆေ့ချ်ကို ကလိုင်းယင့်မှတစ်ဆင့် TLS ဆာဗာ ပျက်ကျစေနိုင်သည်။ ပြဿနာသည် signature_algorithms extension ကို အကောင်အထည်ဖော်ရာတွင် NULL pointer dereference နှင့် သက်ဆိုင်ပါသည်။ ပြဿနာသည် TLSv1.2 ကို ပံ့ပိုးပေးသည့် ဆာဗာများတွင်သာ ဖြစ်ပေါ်ပြီး ချိတ်ဆက်မှု ပြန်လည်ညှိနှိုင်းခြင်းကို ဖွင့်ပါ (မူလအားဖြင့် ဖွင့်ထားသည်)။
source: opennet.ru