OpenSSL கிரிப்டோகிராஃபிக் லைப்ரரி 1.1.1l இன் சரிசெய்தல் வெளியீடு இரண்டு பாதிப்புகளை நீக்கி கிடைக்கிறது:
- CVE-2021-3711 என்பது SM2 கிரிப்டோகிராஃபிக் அல்காரிதம் (சீனாவில் பொதுவானது) செயல்படுத்தும் குறியீட்டில் உள்ள ஒரு இடையக வழிதல் ஆகும், இது இடையக அளவைக் கணக்கிடுவதில் ஏற்பட்ட பிழையின் காரணமாக இடையக எல்லைக்கு அப்பாற்பட்ட பகுதியில் 62 பைட்டுகள் வரை மேலெழுத அனுமதிக்கிறது. SM2 தரவை மறைகுறியாக்க EVP_PKEY_decrypt() செயல்பாட்டைப் பயன்படுத்தும் பயன்பாடுகளுக்கு சிறப்பாக வடிவமைக்கப்பட்ட டிகோடிங் தரவை அனுப்புவதன் மூலம் ஒரு தாக்குபவர் குறியீடு செயல்படுத்தல் அல்லது பயன்பாட்டு செயலிழப்பை அடைய முடியும்.
- CVE-2021-3712 என்பது ASN.1 சரம் செயலாக்கக் குறியீட்டில் உள்ள ஒரு இடையக வழிதல் ஆகும், இது செயலிழப்பை ஏற்படுத்தலாம் அல்லது செயலி நினைவகத்தின் உள்ளடக்கங்களை வெளிப்படுத்தலாம் (உதாரணமாக, நினைவகத்தில் சேமிக்கப்பட்டுள்ள விசைகளை அடையாளம் காண) தாக்குபவர் எப்படியாவது உருவாக்க முடியும். உள்ளக ASN1_STRING கட்டமைப்பில் உள்ள ஒரு சரம். பூஜ்ய எழுத்தால் நிறுத்தப்படவில்லை, மேலும் X509_aux_print(), X509_get1_email(), X509_REQ_get1_email() மற்றும் X509_get1_ocsp() போன்ற சான்றிதழ்களை அச்சிடும் OpenSSL செயல்பாடுகளில் அதைச் செயல்படுத்தவும்.
அதே நேரத்தில், LibreSSL நூலகம் 3.3.4 மற்றும் 3.2.6 இன் புதிய பதிப்புகள் வெளியிடப்பட்டன, அவை பாதிப்புகளை வெளிப்படையாகக் குறிப்பிடவில்லை, ஆனால் மாற்றங்களின் பட்டியலின் மூலம் ஆராயும்போது, CVE-2021-3712 பாதிப்பு நீக்கப்பட்டது.
ஆதாரம்: opennet.ru