Ang mga corrective release ng OpenSSL cryptographic library 3.0.1 at 1.1.1m ay available. Inayos ng Bersyon 3.0.1 ang kahinaan (CVE-2021-4044), at humigit-kumulang isang dosenang mga bug ang naayos sa parehong paglabas.
Ang kahinaan ay umiiral sa pagpapatupad ng mga SSL/TLS na kliyente at nauugnay sa katotohanan na ang libssl library ay hindi wastong pinangangasiwaan ang mga negatibong error code na ibinalik ng X509_verify_cert() function, na tinawag upang i-verify ang certificate na ipinasa sa client ng server. Ibinabalik ang mga negatibong code kapag naganap ang mga panloob na error, halimbawa, kung hindi mailalaan ang memorya para sa buffer. Kung ibinalik ang ganoong error, ang mga kasunod na tawag sa mga function ng I/O gaya ng SSL_connect() at SSL_do_handshake() ay magbabalik ng kabiguan at isang SSL_ERROR_WANT_RETRY_VERIFY na error code, na dapat lang ibalik kung ang application ay dati nang tumawag sa SSL_CTX_set_cert_verify_callback().
Dahil ang karamihan sa mga application ay hindi tumatawag sa SSL_CTX_set_cert_verify_callback(), ang paglitaw ng SSL_ERROR_WANT_RETRY_VERIFY na error ay maaaring ma-misinterpret at magresulta sa isang pag-crash, loop, o iba pang maling tugon. Ang problema ay pinaka-mapanganib kasama ng isa pang bug sa OpenSSL 3.0, na nagdudulot ng panloob na error kapag nagpoproseso ng mga certificate sa X509_verify_cert() nang walang extension na "Subject Alternative Name", ngunit may mga name binding sa mga paghihigpit sa paggamit. Sa kasong ito, ang pag-atake ay maaaring humantong sa mga anomalya na partikular sa application sa paghawak ng certificate at pagtatatag ng session ng TLS.
Pinagmulan: opennet.ru