密码库的修正版本 ,其中被消除 (),当尝试与攻击者控制的服务器或客户端协商 TLS 1.3 连接时,会导致拒绝服务。 该漏洞的严重程度被评为高危。
该问题仅出现在使用 SSL_check_chain() 函数的应用程序中,如果 TLS 扩展“signature_algorithms_cert”使用不正确,则会导致进程崩溃。 特别是,如果连接协商进程接收到数字签名处理算法不支持或不正确的值,则会发生 NULL 指针取消引用并且进程崩溃。 自 OpenSSL 1.1.1d 发布以来,该问题就出现了。
来源: opennet.ru