Na voljo so popravne izdaje kriptografske knjižnice OpenSSL 3.0.1 in 1.1.1m. Različica 3.0.1 je odpravila ranljivost (CVE-2021-4044), v obeh izdajah pa je bilo odpravljenih približno ducat hroščev.
Ranljivost obstaja v implementaciji odjemalcev SSL/TLS in je povezana z dejstvom, da knjižnica libssl nepravilno obravnava negativne kode napak, ki jih vrne funkcija X509_verify_cert(), poklicana za preverjanje potrdila, ki ga je strežnik posredoval odjemalcu. Negativne kode so vrnjene, ko pride do notranjih napak, na primer, če pomnilnika ni mogoče dodeliti medpomnilniku. Če je vrnjena taka napaka, bodo nadaljnji klici V/I funkcij, kot sta SSL_connect() in SSL_do_handshake(), vrnili napako in kodo napake SSL_ERROR_WANT_RETRY_VERIFY, ki bi morala biti vrnjena samo, če je aplikacija predhodno poklicala SSL_CTX_set_cert_verify_callback().
Ker večina aplikacij ne pokliče SSL_CTX_set_cert_verify_callback(), se lahko pojav napake SSL_ERROR_WANT_RETRY_VERIFY napačno razlaga in povzroči zrušitev, zanko ali drug nepravilen odziv. Težava je najbolj nevarna v kombinaciji z drugo napako v OpenSSL 3.0, ki povzroča notranjo napako pri obdelavi certifikatov v X509_verify_cert() brez razširitve "Subject Alternative Name", vendar z vezavami imen v omejitvah uporabe. V tem primeru lahko napad povzroči anomalije, specifične za aplikacijo, pri obravnavanju potrdil in vzpostavitvi seje TLS.
Vir: opennet.ru