การเปิดตัวไลบรารีการเข้ารหัสแบบแก้ไข ซึ่งมันจะถูกกำจัดออกไป () ซึ่งนำไปสู่การปฏิเสธการบริการเมื่อพยายามเจรจาการเชื่อมต่อ TLS 1.3 กับเซิร์ฟเวอร์หรือไคลเอนต์ที่ผู้โจมตีควบคุม ช่องโหว่นี้ได้รับการจัดอันดับว่ามีความรุนแรงสูง
ปัญหาจะปรากฏเฉพาะในแอปพลิเคชันที่ใช้ฟังก์ชัน SSL_check_chain() และทำให้กระบวนการหยุดทำงานหากใช้ส่วนขยาย TLS “signature_algorithms_cert” ไม่ถูกต้อง โดยเฉพาะอย่างยิ่ง ถ้ากระบวนการเจรจาการเชื่อมต่อได้รับค่าที่ไม่ได้รับการสนับสนุนหรือไม่ถูกต้องสำหรับอัลกอริทึมการประมวลผลลายเซ็นดิจิทัล การอ้างอิงตัวชี้ NULL จะเกิดขึ้น และกระบวนการล้มเหลว ปัญหาเกิดขึ้นตั้งแต่เปิดตัว OpenSSL 1.1.1d
ที่มา: opennet.ru