Janë të disponueshme publikimet e mirëmbajtjes së bibliotekës kriptografike OpenSSL 3.0.1 dhe 1.1.1m. Versioni 3.0.1 rregullon cenueshmërinë (CVE-2021-4044), dhe rreth një duzinë gabimesh janë rregulluar në të dy versionet.
Dobësia ekziston në zbatimin e klientëve SSL/TLS dhe është për shkak të faktit se biblioteka libssl trajton gabimisht vlerat e kodit negativ të gabimit të kthyera nga funksioni X509_verify_cert(), i thirrur për të verifikuar certifikatën e kaluar te klienti nga serveri. Kodet negative kthehen kur ndodhin gabime të brendshme, për shembull, nëse është e pamundur të ndahet memorie për një buffer. Nëse kthehet një gabim i tillë, thirrjet pasuese në funksionet I/O si SSL_connect() dhe SSL_do_handshake() do të kthejnë një dështim dhe kodin e gabimit SSL_ERROR_WANT_RETRY_VERIFY, i cili duhet të kthehet vetëm nëse aplikacioni ka bërë më parë një telefonatë në SSL_CTX_set_callback_ver(ify) .
Meqenëse shumica e aplikacioneve nuk thërrasin SSL_CTX_set_cert_verify_callback(), shfaqja e një gabimi SSL_ERROR_WANT_RETRY_VERIFY mund të keqinterpretohet dhe të rezultojë në një përplasje, qark ose sjellje të tjera të pasakta. Problemi është më i rrezikshmi në kombinim me një gabim tjetër në OpenSSL 3.0, i cili çon në një gabim të brendshëm kur X509_verify_cert() përpunon certifikatat pa shtesën "Subject Alternative Name", por me lidhje emri në kufizimet e përdorimit. Në këtë rast, sulmi mund të rezultojë në anomali të varura nga aplikacioni në përpunimin e certifikatës dhe vendosjen e sesionit TLS.
Burimi: opennet.ru