OpenSSL கிரிப்டோகிராஃபிக் லைப்ரரி 3.0.1 மற்றும் 1.1.1m இன் திருத்த வெளியீடுகள் உள்ளன. பதிப்பு 3.0.1 பாதிப்பை சரிசெய்தது (CVE-2021-4044), மேலும் இரண்டு வெளியீடுகளிலும் சுமார் ஒரு டஜன் பிழைகள் சரி செய்யப்பட்டன.
SSL/TLS கிளையன்ட்களை செயல்படுத்துவதில் பாதிப்பு உள்ளது மற்றும் X509_verify_cert() செயல்பாட்டின் மூலம் திருப்பியளிக்கப்பட்ட எதிர்மறை பிழைக் குறியீடுகளை libssl நூலகம் தவறாகக் கையாளுகிறது, இது சர்வரால் கிளையண்டிற்கு அனுப்பப்பட்ட சான்றிதழைச் சரிபார்க்கும். உள் பிழைகள் ஏற்படும் போது எதிர்மறை குறியீடுகள் வழங்கப்படும், எடுத்துக்காட்டாக, இடையகத்திற்கு நினைவகத்தை ஒதுக்க முடியாவிட்டால். அத்தகைய பிழை திரும்பினால், SSL_connect() மற்றும் SSL_do_handshake() போன்ற I/O செயல்பாடுகளுக்கான அடுத்தடுத்த அழைப்புகள் தோல்வியைத் தரும் மற்றும் SSL_ERROR_WANT_RETRY_VERIFY பிழைக் குறியீட்டை வழங்கும், பயன்பாடு SSL_CTX_set_cert_verify_cert_verify க்கு அழைப்பு செய்திருந்தால் மட்டுமே அதைத் திருப்பி அனுப்ப வேண்டும்.
பெரும்பாலான பயன்பாடுகள் SSL_CTX_set_cert_verify_callback() ஐ அழைக்காததால், SSL_ERROR_WANT_RETRY_VERIFY பிழையின் நிகழ்வு தவறாகப் புரிந்துகொள்ளப்பட்டு, செயலிழப்பு, லூப் அல்லது பிற தவறான பதிலை ஏற்படுத்தும். OpenSSL 3.0 இல் உள்ள மற்றொரு பிழையுடன் இணைந்து சிக்கல் மிகவும் ஆபத்தானது, இது X509_verify_cert() இல் "பொருள் மாற்றுப் பெயர்" நீட்டிப்பு இல்லாமல், ஆனால் பயன்பாட்டுக் கட்டுப்பாடுகளில் பெயர் பிணைப்புகளுடன் சான்றிதழ்களைச் செயலாக்கும்போது அகப் பிழையை ஏற்படுத்துகிறது. இந்த வழக்கில், தாக்குதல் சான்றிதழ் கையாளுதல் மற்றும் TLS அமர்வு நிறுவலில் பயன்பாடு சார்ந்த முரண்பாடுகளுக்கு வழிவகுக்கும்.
ஆதாரம்: opennet.ru