liberação corretiva da biblioteca criptográfica , em que é eliminado (), levando a uma negação de serviço ao tentar negociar uma conexão TLS 1.3 com um servidor ou cliente controlado pelo invasor. A vulnerabilidade é classificada como de alta gravidade.
O problema só aparece em aplicações que utilizam a função SSL_check_chain() e faz com que o processo trave caso a extensão TLS “signature_algorithms_cert” seja utilizada incorretamente. Em particular, se o processo de negociação de conexão receber um valor não suportado ou incorreto para o algoritmo de processamento de assinatura digital, ocorrerá uma desreferência do ponteiro NULL e o processo travará. O problema aparece desde o lançamento do OpenSSL 1.1.1d.
Fonte: opennet.ru