OpenSSL လျှို့ဝှက်စာဝှက်စာကြည့်တိုက် 3.0.1 နှင့် 1.1.1m ၏ မှန်ကန်သော ထုတ်ဝေမှုများကို ရရှိနိုင်ပါသည်။ ဗားရှင်း 3.0.1 သည် အားနည်းချက် (CVE-2021-4044) ကို ပြင်ဆင်ခဲ့ပြီး ထုတ်ဝေမှုနှစ်ခုစလုံးတွင် ချွတ်ယွင်းချက်တစ်ဒါဇင်ခန့်ကို ပြင်ဆင်ခဲ့သည်။
အားနည်းချက်သည် SSL/TLS သုံးစွဲသူများ၏ အကောင်အထည်ဖော်မှုတွင် ရှိနေပြီး libssl စာကြည့်တိုက်သည် X509_verify_cert() လုပ်ဆောင်ချက်မှ ပြန်ပေးသော အနုတ်လက္ခဏာ အမှားကုဒ်များကို မှားယွင်းစွာကိုင်တွယ်သည့်အချက်နှင့် ဆက်စပ်နေပါသည်။ ဆာဗာမှ ဖောက်သည်ထံသို့ ပေးပို့ထားသော လက်မှတ်ကို အတည်ပြုရန် တောင်းဆိုထားသည်။ မမ်မိုရီကို ကြားခံအတွက် ခွဲဝေမပေးနိုင်ပါက အတွင်းပိုင်းအမှားအယွင်းများ ဖြစ်ပေါ်လာသည့်အခါ အနုတ်လက္ခဏာကုဒ်များကို ပြန်ပေးသည်။ ထိုသို့သော အမှားအယွင်းတစ်ခု ပြန်လာပါက၊ SSL_connect() နှင့် SSL_do_handshake() ကဲ့သို့သော I/O လုပ်ဆောင်ချက်များသို့ နောက်ဆက်တွဲခေါ်ဆိုမှုများသည် ပျက်ကွက်မှုနှင့် SSL_ERROR_WANT_RETRY_VERIFY အမှားကုဒ်တစ်ခု ပြန်ပေးမည်ဖြစ်ပြီး၊ ၎င်းသည် ယခင်က အပလီကေးရှင်းမှ SSL_CTX_set_cert_callback ဟုခေါ်ဆိုမှသာ ပြန်ဖြစ်သင့်သည်။
အပလီကေးရှင်းအများစုသည် SSL_CTX_set_cert_verify_callback() ကိုမခေါ်ဆိုသောကြောင့် SSL_ERROR_WANT_RETRY_VERIFY အမှားတစ်ခုဖြစ်ပေါ်ပြီး မှားယွင်းခြင်း၊ ပျက်စီးခြင်း၊ စက်ဝိုင်းခြင်း သို့မဟုတ် အခြားသော မှားယွင်းသောတုံ့ပြန်မှုများ ဖြစ်ပေါ်နိုင်သည်။ "Subject Alternative Name" တိုးချဲ့မှုမပါဘဲ X3.0_verify_cert() တွင် လက်မှတ်များကို လုပ်ဆောင်သောအခါတွင် အတွင်းပိုင်းအမှားအယွင်းဖြစ်စေသည့် OpenSSL 509 ရှိ အခြားဘာဂ်နှင့် ပေါင်းစပ်ရာတွင် အန္တရာယ်အရှိဆုံးမှာ ပြဿနာဖြစ်သည်။ ဤကိစ္စတွင်၊ တိုက်ခိုက်မှုသည် လက်မှတ်ကိုင်တွယ်ခြင်းနှင့် TLS စက်ရှင်တည်ထောင်ခြင်းတွင် အပလီကေးရှင်းအလိုက် ကွဲလွဲချက်များကို ဖြစ်ပေါ်စေနိုင်သည်။
source: opennet.ru