K dispozícii sú verzie údržby kryptografickej knižnice OpenSSL 3.0.1 a 1.1.1m. Verzia 3.0.1 opravuje túto chybu zabezpečenia (CVE-2021-4044) a v oboch vydaniach je opravených asi tucet chýb.
Zraniteľnosť existuje v implementácii klientov SSL/TLS a je spôsobená skutočnosťou, že knižnica libssl nesprávne spracováva negatívne hodnoty chybového kódu vrátené funkciou X509_verify_cert() volanou na overenie certifikátu odovzdaného klientovi serverom. Záporné kódy sa vrátia, keď sa vyskytnú interné chyby, napríklad ak nie je možné prideliť pamäť pre vyrovnávaciu pamäť. Ak sa takáto chyba vráti, následné volania I/O funkcií, ako sú SSL_connect() a SSL_do_handshake() vrátia zlyhanie a chybový kód SSL_ERROR_WANT_RETRY_VERIFY, ktorý by sa mal vrátiť iba vtedy, ak aplikácia predtým zavolala SSL_CTX_set_cert_verify_callback() .
Keďže väčšina aplikácií nevolá SSL_CTX_set_cert_verify_callback(), výskyt chyby SSL_ERROR_WANT_RETRY_VERIFY môže byť nesprávne interpretovaný a môže viesť k zlyhaniu, slučke alebo inému nesprávnemu správaniu. Problém je najnebezpečnejší v kombinácii s ďalšou chybou v OpenSSL 3.0, ktorá vedie k internej chybe, keď X509_verify_cert() spracováva certifikáty bez rozšírenia „Subject Alternative Name“, ale s viazaním názvov v obmedzeniach používania. V tomto prípade by útok mohol viesť k anomáliám závislým od aplikácie v spracovaní certifikátov a vytváraní relácie TLS.
Zdroj: opennet.ru