OpenSSL ගුප්ත ලේඛන පුස්තකාලයේ නිවැරදි නිකුතු 3.0.1 සහ 1.1.1m තිබේ. 3.0.1 අනුවාදය මගින් අවදානම් (CVE-2021-4044) සවි කර ඇති අතර, නිකුත් කිරීම් දෙකෙහිම දෝෂ දුසිමක් පමණ සවි කර ඇත.
SSL/TLS සේවාලාභීන් ක්රියාත්මක කිරීමේදී අවදානම පවතින අතර, සේවාදායකයා විසින් සේවාදායකයා වෙත ලබා දුන් සහතිකය සත්යාපනය කිරීමට කැඳවනු ලබන X509_verify_cert() ශ්රිතය මඟින් ආපසු ලබා දෙන සෘණ දෝෂ කේත libssl පුස්තකාලය වැරදි ලෙස හසුරුවන බවට සම්බන්ධ වේ. අභ්යන්තර දෝෂ ඇති වූ විට සෘණ කේත ලබා දෙනු ලැබේ, උදාහරණයක් ලෙස, බෆරය සඳහා මතකය වෙන් කළ නොහැකි නම්. එවැනි දෝෂයක් ආපසු ලබා දෙන්නේ නම්, SSL_connect() සහ SSL_do_handshake() වැනි I/O ශ්රිත වෙත පසුව කරන ඇමතුම් අසාර්ථක වන අතර SSL_ERROR_WANT_RETRY_VERIFY දෝෂ කේතයක් ආපසු ලබා දෙනු ඇත, එය යෙදුම කලින් SSL_CTX_set_cert_verify_cert_ වෙත ඇමතුමක් ලබා දී ඇත්නම් පමණක් ආපසු ලබා දිය යුතුය.
බොහෝ යෙදුම් SSL_CTX_set_cert_verify_callback() අමතන්නේ නැති නිසා, SSL_ERROR_WANT_RETRY_VERIFY දෝෂයක් ඇතිවීම වැරදි ලෙස අර්ථකථනය කර බිඳවැටීමක්, ලූපයක් හෝ වෙනත් වැරදි ප්රතිචාරයක් ඇති කරයි. OpenSSL 3.0 හි ඇති වෙනත් දෝෂයක් සමඟ ඒකාබද්ධව ගැටළුව වඩාත් භයානක වේ, එය X509_verify_cert() හි "විෂය විකල්ප නම" දිගුවකින් තොරව සහතික සැකසීමේදී අභ්යන්තර දෝෂයක් ඇති කරයි, නමුත් භාවිත සීමාවන් තුළ නාම බැඳීම් ඇත. මෙම අවස්ථාවෙහිදී, ප්රහාරය සහතික හැසිරවීමේදී සහ TLS සැසි පිහිටුවීමේදී යෙදුම්-විශේෂිත විෂමතා ඇති විය හැක.
මූලාශ්රය: opennet.ru