OpenSSL క్రిప్టోగ్రాఫిక్ లైబ్రరీ 1.1.1l యొక్క దిద్దుబాటు విడుదల రెండు దుర్బలత్వాల తొలగింపుతో అందుబాటులో ఉంది:
- CVE-2021-3711 అనేది SM2 క్రిప్టోగ్రాఫిక్ అల్గారిథమ్ (చైనాలో సాధారణం) అమలు చేసే కోడ్లోని బఫర్ ఓవర్ఫ్లో, ఇది బఫర్ పరిమాణాన్ని లెక్కించడంలో లోపం కారణంగా బఫర్ సరిహద్దుకు మించిన ప్రాంతంలో 62 బైట్ల వరకు ఓవర్రైట్ చేయడానికి అనుమతిస్తుంది. SM2 డేటాను డీక్రిప్ట్ చేయడానికి EVP_PKEY_decrypt() ఫంక్షన్ని ఉపయోగించే అప్లికేషన్లకు ప్రత్యేకంగా రూపొందించిన డీకోడింగ్ డేటాను పాస్ చేయడం ద్వారా దాడి చేసే వ్యక్తి సంభావ్యంగా కోడ్ అమలును లేదా అప్లికేషన్ క్రాష్ను సాధించగలడు.
- CVE-2021-3712 అనేది ASN.1 స్ట్రింగ్ ప్రాసెసింగ్ కోడ్లోని బఫర్ ఓవర్ఫ్లో, ఇది అప్లికేషన్ క్రాష్కు కారణమవుతుంది లేదా ప్రాసెస్ మెమరీలోని కంటెంట్లను (ఉదాహరణకు, మెమరీలో నిల్వ చేయబడిన కీలను గుర్తించడానికి) బహిర్గతం చేయగలదు. అంతర్గత ASN1_STRING నిర్మాణంలో ఒక స్ట్రింగ్. శూన్య అక్షరంతో ముగించబడలేదు మరియు X509_aux_print(), X509_get1_email(), X509_REQ_get1_email() మరియు X509_get1_ocsp() వంటి ధృవపత్రాలను ముద్రించే OpenSSL ఫంక్షన్లలో దీన్ని ప్రాసెస్ చేయండి.
అదే సమయంలో, LibreSSL లైబ్రరీ 3.3.4 మరియు 3.2.6 యొక్క కొత్త వెర్షన్లు విడుదల చేయబడ్డాయి, ఇవి హానిలను స్పష్టంగా పేర్కొనలేదు, అయితే మార్పుల జాబితా ద్వారా అంచనా వేయడం ద్వారా, CVE-2021-3712 దుర్బలత్వం తొలగించబడింది.
మూలం: opennet.ru