Awọn idasilẹ itọju ti ile-ikawe cryptographic OpenSSL 3.0.1 ati 1.1.1m wa. Ẹya 3.0.1 ṣe atunṣe ailagbara (CVE-2021-4044), ati nipa awọn idun mejila mejila ni o wa titi ninu awọn idasilẹ mejeeji.
Ailagbara naa wa ninu imuse ti awọn alabara SSL/TLS ati pe o jẹ nitori otitọ pe ile-ikawe libssl ni aṣiṣe mu awọn iye koodu aṣiṣe odi ti o pada nipasẹ iṣẹ X509_verify_cert (), ti a pe lati jẹrisi ijẹrisi ti o kọja si alabara nipasẹ olupin naa. Awọn koodu odi ti pada nigbati awọn aṣiṣe inu ba waye, fun apẹẹrẹ, ti ko ṣee ṣe lati pin iranti fun ifipamọ. Ti iru aṣiṣe bẹ ba pada, awọn ipe ti o tẹle si awọn iṣẹ I/O gẹgẹbi SSL_connect() ati SSL_do_handshake() yoo da ikuna pada ati koodu aṣiṣe SSL_ERROR_WANT_RETRY_VERIFY, eyiti o yẹ ki o pada nikan ti ohun elo naa ba ti ṣe ipe tẹlẹ si SSL_CTX_set_cert_verify_callback() .
Niwọn igba ti ọpọlọpọ awọn ohun elo ko pe SSL_CTX_set_cert_verify_callback(), iṣẹlẹ ti aṣiṣe SSL_ERROR_WANT_RETRY_VERIFY le jẹ itumọ ti ko tọ ati ja si jamba, lupu, tabi ihuwasi ti ko tọ. Iṣoro naa lewu julọ ni apapo pẹlu kokoro miiran ni OpenSSL 3.0, eyiti o yori si aṣiṣe inu nigbati X509_verify_cert () ṣe awọn iwe-ẹri laisi itẹsiwaju “Orukọ Yiyan Koko-ọrọ”, ṣugbọn pẹlu awọn abuda orukọ ni awọn ihamọ lilo. Ni ọran yii, ikọlu le ja si awọn aiṣedeede ti o gbẹkẹle ohun elo ni ṣiṣe ijẹrisi ati idasile igba TLS.
orisun: opennet.ru
