OpenSSL 1.1.1g с устранением уязвимости, связанной с TLS 1.3
Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1g, в котором устранена уязвимость (CVE-2020-1967), приводящая к отказу в обслуживании при попытке согласовать соединение TLS 1.3 с подконтрольным злоумышленнику сервером или клиентом. Уязвимости присвоен высокий уровень опасности.

Проблема проявляется только в приложениях, использующих функцию SSL_check_chain(), и приводит к краху процесса при некорректном использовании TLS-расширения "signature_algorithms_cert". В частности, при получении в процессе согласования соединения неподдерживаемого или неверного значения алгоритма обработки цифровых подписей возникает разыменование нулевого указателя и крах процесса. Проблема проявляется начиная с выпуска OpenSSL 1.1.1d.

https://www.mail-archive.com/openssl-announce@openssl.org/msg00320.html
Публікації за темою:
більше приховати
Джерело: www.opennet.ru
Ви маєте увійти під своїм обліковим записом

loading