کرپٹوگرافک لائبریری کی اصلاحی ریلیز ، جس میں اسے ختم کیا جاتا ہے۔ ()، جو حملہ آور کے زیر کنٹرول سرور یا کلائنٹ کے ساتھ TLS 1.3 کنکشن پر بات چیت کرنے کی کوشش کرتے وقت سروس سے انکار کا باعث بنتا ہے۔ خطرے کو اعلی شدت کے طور پر درجہ بندی کیا گیا ہے۔
مسئلہ صرف ان ایپلی کیشنز میں ظاہر ہوتا ہے جو SSL_check_chain() فنکشن کا استعمال کرتی ہیں اور اگر TLS ایکسٹینشن "signature_algorithms_cert" کو غلط طریقے سے استعمال کیا جاتا ہے تو یہ عمل کریش ہو جاتا ہے۔ خاص طور پر، اگر کنکشن گفت و شنید کے عمل کو ڈیجیٹل سگنیچر پروسیسنگ الگورتھم کے لیے غیر تعاون یافتہ یا غلط قدر ملتی ہے، تو NULL پوائنٹر ڈیریفرنس ہوتا ہے اور عمل کریش ہو جاتا ہے۔ مسئلہ OpenSSL 1.1.1d کے اجراء کے بعد سے ظاہر ہوتا ہے۔
ماخذ: opennet.ru