密碼庫的修正版本 ,其中被消除 (),當嘗試與攻擊者控制的伺服器或用戶端協商 TLS 1.3 連線時,會導致拒絕服務。 此漏洞的嚴重程度被評為高風險。
該問題僅出現在使用 SSL_check_chain() 函數的應用程式中,如果 TLS 擴充「signature_algorithms_cert」使用不正確,則會導致進程崩潰。 特別是,如果連接協商進程接收到數位簽章處理演算法不支援或不正確的值,則會發生 NULL 指標取消引用並且進程崩潰。 自 OpenSSL 1.1.1d 發布以來,該問題就出現了。
來源: opennet.ru