korrigerende utgivelse av det kryptografiske biblioteket , der den er eliminert (), som fører til tjenestenekt ved forsøk på å forhandle en TLS 1.3-forbindelse med en angriperkontrollert server eller klient. Sårbarheten er vurdert som høy alvorlighetsgrad.
Problemet vises bare i applikasjoner som bruker SSL_check_chain()-funksjonen og får prosessen til å krasje hvis TLS-utvidelsen "signature_algorithms_cert" brukes feil. Spesielt hvis tilkoblingsforhandlingsprosessen mottar en ustøttet eller feil verdi for den digitale signaturbehandlingsalgoritmen, oppstår en NULL-peker-dereference og prosessen krasjer. Problemet har dukket opp siden utgivelsen av OpenSSL 1.1.1d.
Kilde: opennet.ru