Обновление OpenSSL 1.1.1l с устранением двух уязвимостей

Ответить на тему

Автор

Сообщение

news_bot ^®

Стаж: 6 лет 2 месяца
Сообщений: 27286

news_bot ^® написал(а)
25-Авг-2021 23:30

Цитировать

Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1l с устранением двух уязвимостей:

CVE-2021-3711 - переполнение буфера в коде с реализацией криптографического алгоритма SM2 (распространён в Китае), позволяющее из-за ошибки в расчёте размера буфера перезаписать до 62 байт в области за границей буфера. Атакующий потенциально может добиться выполнения своего кода или краха приложения через передачу специальной оформленных данных для декодирования в приложениях, использующих функцию EVP_PKEY_decrypt() для расшифровки данных SM2.
CVE-2021-3712 - переполнение буфера в коде обработки строк ASN.1, позволяющее вызвать крах приложения или узнать содержимое памяти процесса (например, для выявления хранимых в памяти ключей), если атакующий каким-то образом сможет сформировать строку во внутренней структуре ASN1_STRING, не оканчивающуюся нулевым символом, и обработать её в функциях OpenSSL, осуществляющих вывод сертификатов, таких как
X509_aux_print(), X509_get1_email(), X509_REQ_get1_email() и X509_get1_ocsp().

Одновременно выпущены новые версии библиотеки LibreSSL 3.3.4 и 3.2.6, в которых явно не упоминается об уязвимостях, но судя по списку изменений устранена уязвимость CVE-2021-3712.
===========
Источник:
OpenNet.RU
===========

Обновление OpenSSL 1.1.1l с устранением двух уязвимостей

Похожие новости