corrigerende vrijgave van de cryptografische bibliotheek , waarin het wordt geëlimineerd (), wat leidt tot een denial of service bij een poging om een TLS 1.3-verbinding tot stand te brengen met een door de aanvaller bestuurde server of client. De kwetsbaarheid wordt als zeer ernstig beoordeeld.
Het probleem doet zich alleen voor in toepassingen die de functie SSL_check_chain() gebruiken en zorgt ervoor dat het proces crasht als de TLS-extensie “signature_algorithms_cert” onjuist wordt gebruikt. Met name als het verbindingsonderhandelingsproces een niet-ondersteunde of onjuiste waarde ontvangt voor het verwerkingsalgoritme voor digitale handtekeningen, treedt er een NULL pointer-dereferentie op en loopt het proces vast. Het probleem doet zich voor sinds de release van OpenSSL 1.1.1d.
Bron: opennet.ru