CVE-2021-23841

Versões 1.1.1i e anteriores do OpenSSL

Versões 1.0.2x e anteriores do OpenSSL

O problema está relacionado à função X509 issuer and serial hash(), que tenta criar um valor hash único com base nos dados do emissor e do número de série contidos em um certificado X509. No entanto, ela não consegue lidar corretamente com erros que possam ocorrer durante a análise do campo do emissor, o que pode resultar em uma desreferência de ponteiro NULL e uma falha no sistema, levando a um potencial ataque de negação de serviço. Essa função nunca é chamada diretamente pelo próprio OpenSSL; portanto, os aplicativos só ficam vulneráveis se utilizarem essa função diretamente e em certificados que possam ter sido obtidos de fontes não confiáveis. Além disso, chamadas para EVP CipherUpdate, EVP EncryptUpdate e EVP DecryptUpdate podem causar estouro do argumento de comprimento de saída em alguns casos, fazendo com que os aplicativos se comportem incorretamente ou travem.

Para as versões 1.1.1i e anteriores do OpenSSL, atualize para o OpenSSL 1.1.1j.

Para as versões 1.0.2x e anteriores do OpenSSL, os clientes com suporte premium devem atualizar para a versão 1.0.2y, enquanto os demais usuários devem atualizar para a versão 1.1.1j.

Como solução temporária, considere evitar o uso da função X509 issuer and serial hash() em certificados de fontes não confiáveis até que um patch esteja disponível.