eliberarea corectivă a bibliotecii criptografice , în care este eliminat (), ducând la o refuz de serviciu atunci când încercați să negociați o conexiune TLS 1.3 cu un server sau client controlat de atacator. Vulnerabilitatea este evaluată ca fiind de severitate ridicată.
Problema apare numai în aplicațiile care utilizează funcția SSL_check_chain() și provoacă blocarea procesului dacă extensia TLS „signature_algorithms_cert” este utilizată incorect. În special, dacă procesul de negociere a conexiunii primește o valoare neacceptată sau incorectă pentru algoritmul de procesare a semnăturii digitale, are loc o dereferire a indicatorului NULL și procesul se blochează. Problema apare de la lansarea OpenSSL 1.1.1d.
Sursa: opennet.ru