Toleo la kusahihisha la maktaba ya kriptografia ya OpenSSL 1.1.1l inapatikana pamoja na kuondoa athari mbili:
- CVE-2021-3711 ni kufurika kwa bafa katika msimbo unaotekeleza algoriti ya kriptografia ya SM2 (ya kawaida nchini Uchina), ambayo inaruhusu hadi baiti 62 kuandikwa juu zaidi katika eneo lililo nje ya mpaka wa bafa kutokana na hitilafu katika kukokotoa ukubwa wa bafa. Mshambulizi anaweza kufikia utekelezaji wa msimbo au programu kuacha kufanya kazi kwa kupitisha data iliyoundwa mahususi ya kusimbua kwa programu zinazotumia chaguo la kukokotoa la EVP_PKEY_decrypt() kusimbua data ya SM2.
- CVE-2021-3712 ni buffer kufurika katika msimbo wa kuchakata kamba ASN.1, ambayo inaweza kusababisha programu kuacha kufanya kazi au kufichua yaliyomo kwenye kumbukumbu ya mchakato (kwa mfano, kutambua vitufe vilivyohifadhiwa kwenye kumbukumbu) ikiwa mvamizi anaweza kwa njia fulani kuzalisha. mfuatano katika muundo wa ndani wa ASN1_STRING. haujamalizwa na herufi batili, na uichakate katika vitendaji vya OpenSSL vinavyochapisha vyeti, kama vile X509_aux_print(), X509_get1_email(), X509_REQ_get1_email() na X509_get1_osp().
Wakati huo huo, matoleo mapya ya maktaba ya LibreSSL 3.3.4 na 3.2.6 yalitolewa, ambayo hayataji udhaifu, lakini kwa kuzingatia orodha ya mabadiliko, uwezekano wa CVE-2021-3712 umeondolewa.
Chanzo: opennet.ru