Openssl · Openssl · CVE-2021-4044
**Nome do software vulnerável e versões afetadas**
OpenSSL versão 3.0.0
Versões do OpenSSL anteriores à 3.0.1
**Descrição**
O problema está relacionado ao tratamento incorreto de erros internos pela função `X509 verify cert()` no OpenSSL. Essa função pode retornar um valor negativo para indicar um erro interno, como falta de memória. No entanto, o OpenSSL lida incorretamente com esse valor de retorno negativo, fazendo com que funções de E/S como `SSL connect()` ou `SSL do handshake()` não indiquem sucesso. Como resultado, uma chamada subsequente a `SSL get error()` retorna o valor `SSL ERROR WANT RETRY VERIFY`, o que é inesperado para a maioria dos aplicativos. Isso pode levar a travamentos, loops infinitos ou outras respostas incorretas, dependendo da aplicação. O problema é mais grave quando combinado com um bug separado no OpenSSL 3.0 que faz com que `X509 verify cert()` indique um erro interno ao processar uma cadeia de certificados sem a extensão Subject Alternative Name, mas com restrições de nome impostas por uma Autoridade Certificadora.
**Recomendações**
Para a versão 3.0.0 do OpenSSL, atualize para a versão 3.0.1 para corrigir o problema.
Para versões anteriores à 3.0.1, atualize para a versão 3.0.1 ou uma versão posterior para resolver o problema.
Como solução temporária, considere desativar a função `X509 verify cert()` até que um patch esteja disponível.
Restrinja o acesso às funções vulneráveis `SSL connect()` e `SSL do handshake()` para minimizar o risco de exploração.
Evite usar o valor de retorno `SSL ERROR WANT RETRY VERIFY` de `SSL get er