Itusilẹ atunṣe ti ile-ikawe cryptographic OpenSSL 1.1.1l wa pẹlu imukuro awọn ailagbara meji:
- CVE-2021-3711 jẹ aponsedanu ifipamọ ninu koodu ti n ṣe imuse algorithm cryptographic SM2 (wọpọ ni Ilu China), eyiti o gba laaye to awọn baiti 62 lati tun kọwe ni agbegbe ti o kọja aala ifipamọ nitori aṣiṣe ni iṣiro iwọn ifipamọ naa. Olukọni le ṣaṣeyọri ipaniyan koodu tabi jamba ohun elo nipa gbigbe data iyipada ti a ṣe ni pataki si awọn ohun elo ti o lo iṣẹ EVP_PKEY_decrypt() lati kọ data SM2.
- CVE-2021-3712 ni a ifipamọ aponsedanu ni ASN.1 okun processing koodu, eyi ti o le fa ohun elo jamba tabi fi han awọn akoonu ti iranti ilana (fun apẹẹrẹ, lati da awọn bọtini ti o ti fipamọ ni iranti) ti o ba ti attacker bakan anfani lati se ina. okun kan ninu eto ASN1_STRING ti inu. ko pari nipasẹ ohun kikọ asan, ati ṣe ilana ni awọn iṣẹ OpenSSL ti o tẹ awọn iwe-ẹri, bii X509_aux_print (), X509_get1_email (), X509_REQ_get1_email () ati X509_get1_ocsp ().
Ni akoko kanna, awọn ẹya tuntun ti iwe-ikawe LibreSSL 3.3.4 ati 3.2.6 ti tu silẹ, eyiti ko sọ ni gbangba awọn ailagbara, ṣugbọn idajọ nipasẹ atokọ ti awọn ayipada, a ti yọ ailagbara CVE-2021-3712 kuro.
orisun: opennet.ru