Kutulutsa kokonzanso kwa OpenSSL cryptographic library 1.1.1k kulipo, komwe kumakonza zofooka ziwiri zomwe zimayikidwa mulingo wovuta kwambiri:
- CVE-2021-3450 - Ndikotheka kulambalala chitsimikiziro cha satifiketi yaulamuliro wa satifiketi pomwe mbendera ya X509_V_FLAG_X509_STRICT yayatsidwa, yomwe imayimitsidwa mwachisawawa ndipo imagwiritsidwanso ntchito kuwunikanso kupezeka kwa satifiketi mu unyolo. Vutoli lidayambitsidwa pakukhazikitsa kwa OpenSSL 1.1.1h cheke chatsopano chomwe chimaletsa kugwiritsa ntchito ziphaso pamaketani omwe amalemba momveka bwino magawo a elliptic curve.
Chifukwa cha zolakwika mu code, cheke chatsopanocho chinaposa zotsatira za cheke chomwe chidachitika kale chowona ngati satifiketi yotsimikizira satifiketi. Zotsatira zake, ziphaso zotsimikiziridwa ndi satifiketi yodzisainira yokha, zomwe sizilumikizidwa ndi unyolo wa trust ku bungwe la certification, zidawonedwa ngati zodalirika kwathunthu. Chiwopsezo sichikuwoneka ngati gawo la "cholinga" lakhazikitsidwa, lomwe limakhazikitsidwa mwachisawawa mu kasitomala ndi njira zotsimikizira satifiketi ya seva mu libssl (yogwiritsidwa ntchito pa TLS).
- CVE-2021-3449 - Ndizotheka kuyambitsa kuwonongeka kwa seva ya TLS kudzera mwa kasitomala kutumiza uthenga wopangidwa mwapadera wa ClientHello. Nkhaniyi ikugwirizana ndi NULL pointer dereference pakukhazikitsa kwa signature_algorithms extension. Nkhaniyi imangochitika pa maseva omwe amathandizira TLSv1.2 ndikuthandizira kukambirananso kolumikizana (kothandizidwa mwachisawawa).
Source: opennet.ru