OpenSSL கிரிப்டோகிராஃபிக் லைப்ரரி 1.1.1k இன் பராமரிப்பு வெளியீடு உள்ளது, இது அதிக தீவிரத்தன்மைக்கு ஒதுக்கப்பட்ட இரண்டு பாதிப்புகளை சரிசெய்கிறது:
- CVE-2021-3450 - X509_V_FLAG_X509_STRICT கொடி இயக்கப்பட்டிருக்கும் போது சான்றிதழ் அதிகாரச் சான்றிதழின் சரிபார்ப்பைத் தவிர்க்க முடியும், இது இயல்பாகவே முடக்கப்பட்டு, சங்கிலியில் சான்றிதழ்கள் இருப்பதைக் கூடுதலாகச் சரிபார்க்கப் பயன்படுகிறது. நீள்வட்ட வளைவு அளவுருக்களை வெளிப்படையாகக் குறியாக்கம் செய்யும் சங்கிலியில் சான்றிதழ்களைப் பயன்படுத்துவதைத் தடைசெய்யும் புதிய சரிபார்ப்பை OpenSSL 1.1.1h செயல்படுத்தியதில் சிக்கல் அறிமுகப்படுத்தப்பட்டது.
குறியீட்டில் ஏற்பட்ட பிழை காரணமாக, புதிய காசோலையானது, சான்றளிப்பு அதிகாரச் சான்றிதழின் சரியான தன்மைக்காக முன்னர் செய்யப்பட்ட சோதனையின் முடிவை மீறியது. இதன் விளைவாக, சுய கையொப்பமிடப்பட்ட சான்றிதழின் மூலம் சான்றளிக்கப்பட்ட சான்றிதழ்கள், ஒரு நம்பிக்கைச் சங்கிலியால் ஒரு சான்றிதழ் ஆணையத்துடன் இணைக்கப்படவில்லை, அவை முழு நம்பகமானதாகக் கருதப்பட்டன. "நோக்கம்" அளவுரு அமைக்கப்பட்டால் பாதிப்பு தோன்றாது, இது libssl இல் உள்ள கிளையன்ட் மற்றும் சர்வர் சான்றிதழ் சரிபார்ப்பு நடைமுறைகளில் இயல்புநிலையாக அமைக்கப்படும் (TLSக்கு பயன்படுத்தப்படுகிறது).
- CVE-2021-3449 – சிறப்பாக வடிவமைக்கப்பட்ட ClientHello செய்தியை அனுப்பும் கிளையன்ட் மூலம் TLS சர்வர் செயலிழப்பை ஏற்படுத்தலாம். சிக்னேச்சர்_அல்காரிதம்ஸ் நீட்டிப்பைச் செயல்படுத்துவதில் உள்ள NULL சுட்டிக் குறைப்புடன் தொடர்புடையது. TLSv1.2 ஐ ஆதரிக்கும் மற்றும் இணைப்பு மறுபரிசீலனையை இயக்கும் சேவையகங்களில் மட்டுமே சிக்கல் ஏற்படுகிறது (இயல்புநிலையாக இயக்கப்பட்டது).
ஆதாரம்: opennet.ru