kriptografik kütüphanenin düzeltici sürümü ortadan kaldırıldığı (), saldırgan tarafından kontrol edilen bir sunucu veya istemciyle TLS 1.3 bağlantısı kurmaya çalışırken hizmet reddine yol açar. Güvenlik açığının ciddiyeti yüksek olarak derecelendirilmiştir.
Sorun yalnızca SSL_check_chain() işlevini kullanan uygulamalarda ortaya çıkıyor ve "signature_algorithms_cert" TLS uzantısının yanlış kullanılması durumunda işlemin çökmesine neden oluyor. Özellikle, bağlantı anlaşması süreci dijital imza işleme algoritması için desteklenmeyen veya yanlış bir değer alırsa, bir NULL işaretçi referansı iptali meydana gelir ve süreç çöker. Sorun OpenSSL 1.1.1d'nin piyasaya sürülmesinden bu yana ortaya çıkıyor.
Kaynak: opennet.ru