Обновление OpenSSL 1.1.1l с устранением двух уязвимостей

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
25-Авг-2021 23:30

Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1l с устранением двух уязвимостей:
  • CVE-2021-3711 - переполнение буфера в коде с реализацией криптографического алгоритма SM2 (распространён в Китае), позволяющее из-за ошибки в расчёте размера буфера перезаписать до 62 байт в области за границей буфера. Атакующий потенциально может добиться выполнения своего кода или краха приложения через передачу специальной оформленных данных для декодирования в приложениях, использующих функцию EVP_PKEY_decrypt() для расшифровки данных SM2.
  • CVE-2021-3712 - переполнение буфера в коде обработки строк ASN.1, позволяющее вызвать крах приложения или узнать содержимое памяти процесса (например, для выявления хранимых в памяти ключей), если атакующий каким-то образом сможет сформировать строку во внутренней структуре ASN1_STRING, не оканчивающуюся нулевым символом, и обработать её в функциях OpenSSL, осуществляющих вывод сертификатов, таких как
    X509_aux_print(), X509_get1_email(), X509_REQ_get1_email() и X509_get1_ocsp().
Одновременно выпущены новые версии библиотеки LibreSSL 3.3.4 и 3.2.6, в которых явно не упоминается об уязвимостях, но судя по списку изменений устранена уязвимость CVE-2021-3712.
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_openssl, #_libressl
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 13:11
Часовой пояс: UTC + 5