CVE-2021-4044

OpenSSL versão 3.0.0

Versões do OpenSSL anteriores à 3.0.1

O problema está relacionado ao tratamento incorreto de erros internos pela função X509 verify cert() no OpenSSL. Essa função pode retornar um valor negativo para indicar um erro interno, como falta de memória. No entanto, o OpenSSL lida incorretamente com esse valor de retorno negativo, fazendo com que funções de E/S como SSL connect() ou SSL do handshake() não indiquem sucesso. Como resultado, uma chamada subsequente a SSL get error() retorna o valor SSL ERROR WANT RETRY VERIFY, o que é inesperado para a maioria dos aplicativos. Isso pode levar a travamentos, loops infinitos ou outras respostas incorretas, dependendo da aplicação. O problema é mais grave quando combinado com um bug separado no OpenSSL 3.0 que faz com que X509 verify cert() indique um erro interno ao processar uma cadeia de certificados sem a extensão Subject Alternative Name, mas com restrições de nome impostas por uma Autoridade Certificadora.

Para a versão 3.0.0 do OpenSSL, atualize para a versão 3.0.1 para corrigir o problema.

Para versões anteriores à 3.0.1, atualize para a versão 3.0.1 ou uma versão posterior para resolver o problema.

Como solução temporária, considere desativar a função X509 verify cert() até que um patch esteja disponível.

Restrinja o acesso às funções vulneráveis SSL connect() e SSL do handshake() para minimizar o risco de exploração.

Evite usar o valor de retorno SSL ERROR WANT RETRY VERIFY de `SSL get er