TLS 1.1.1 အားနည်းချက်အတွက် ပြင်ဆင်မှုဖြင့် ထုတ်ဝေထားသော OpenSSL 1.3g

ရနိုင်ပါတယ် cryptographic စာကြည့်တိုက်၏ မှန်ကန်သော ထုတ်ပြန်မှု OpenSSL 1.1.1gပယ်ရှားအပ်သော၊ အားနည်းချက် (CVE-2020-1967) တိုက်ခိုက်သူထိန်းချုပ်ထားသောဆာဗာ သို့မဟုတ် ကလိုင်းယင့်တစ်ခုနှင့် TLS 1.3 ချိတ်ဆက်မှုကို ညှိနှိုင်းရန်ကြိုးပမ်းသည့်အခါ ဝန်ဆောင်မှုကို ငြင်းပယ်ခြင်းဆီသို့ ဦးတည်စေသည်။ အားနည်းချက်ကို ပြင်းထန်ပြင်းထန်မှုအဖြစ် အဆင့်သတ်မှတ်သည်။

SSL_check_chain() လုပ်ဆောင်ချက်ကို အသုံးပြုသည့် အပလီကေးရှင်းများတွင်သာ ပြဿနာပေါ်လာပြီး TLS တိုးချဲ့မှု “signature_algorithms_cert” ကို လွဲမှားစွာ အသုံးပြုပါက လုပ်ငန်းစဉ် ပျက်စီးသွားစေသည်။ အထူးသဖြင့်၊ ချိတ်ဆက်မှုညှိနှိုင်းရေးလုပ်ငန်းစဉ်သည် ဒစ်ဂျစ်တယ်လက်မှတ်လုပ်ဆောင်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်အတွက် ပံ့ပိုးမထားသော သို့မဟုတ် မှားယွင်းသောတန်ဖိုးကို လက်ခံရရှိပါက၊ NULL ညွှန်ပြချက်ကို လွဲချော်ပြီး လုပ်ငန်းစဉ်ပျက်သွားသည်။ OpenSSL 1.1.1d ထွက်ရှိကတည်းက ပြဿနာပေါ်လာသည်။

source: opennet.ru