د OpenSSL کریپټوګرافیک کتابتون 1.1.1k د ساتنې خوشې کول شتون لري، کوم چې دوه زیانمنونکي حل کوي چې د لوړ شدت کچه ټاکل شوي:
- CVE-2021-3450 - د X509_V_FLAG_X509_STRICT بیرغ فعالولو په وخت کې د سند واک سند تصدیق کولو څخه د تیریدو امکان ، کوم چې د ډیفالټ لخوا غیر فعال شوی او په سلسله کې د سندونو شتون اضافي چک کولو لپاره کارول کیږي. ستونزه په OpenSSL 1.1.1h کې د نوي چیک پلي کولو کې معرفي شوې چې په یوه زنځیر کې د سندونو کارول منع کوي چې په ښکاره ډول د ایلیپټیک وکر پیرامیټونه کوډ کوي.
په کوډ کې د یوې تېروتنې له امله، نوی چک د تصدیق کولو واک سند د سموالي لپاره د پخوانۍ ترسره شوي چک پایله بدله کړه. د پایلې په توګه، هغه سندونه چې د ځان لاسلیک شوي سند لخوا تصدیق شوي، کوم چې د اعتبار سلسله د تصدیق کولو ادارې سره تړاو نلري، د بشپړ باور وړ ګڼل کیږي. زیانمنتیا نه ښکاري که چیرې د "هدف" پیرامیټر ترتیب شوی وي، کوم چې په لیب ایس ایل کې د پیرودونکي او سرور سند تصدیق کولو پروسیجرونو کې د ډیفالټ لخوا ترتیب شوی (د TLS لپاره کارول کیږي).
- CVE-2021-3449 - دا ممکنه ده چې د پیرودونکي له لارې د TLS سرور حادثې لامل شي چې په ځانګړي ډول جوړ شوي ClientHello پیغام لیږلو سره. مسله د لاسلیک_الګوریتم توسیع پلي کولو کې د NULL پوائنټر ډیریفرنس پورې اړه لري. مسله یوازې په سرورونو کې پیښیږي چې د TLSv1.2 مالتړ کوي او د پیوستون بیا خبرو اترو فعالوي (د ډیفالټ لخوا فعال شوی).
سرچینه: opennet.ru