release corrective perpustakaan cryptographic , nu dileungitkeun (), ngarah kana panolakan jasa nalika nyobian negotiate sambungan TLS 1.3 sareng server atanapi klien anu dikawasa ku panyerang. Kerentanan ieu dipeunteun salaku severity tinggi.
Masalahna ngan muncul dina aplikasi anu ngagunakeun SSL_check_chain () fungsi sarta ngabalukarkeun prosés kacilakaan lamun extension TLS "signature_algorithms_cert" dipaké teu bener. Khususna, upami prosés negosiasi sambungan nampi nilai anu teu didukung atanapi lepat pikeun algoritma pamrosésan tanda tangan digital, lumangsung dereference pointer NULL sareng prosésna ngadat. Masalahna muncul saprak sékrési OpenSSL 1.1.1d.
sumber: opennet.ru