Eine Sicherheitslücke in der OpenSSL-Kryptobibliothek hat zur
Folge, dass ein entfernter Angreifer entsprechende Anwendungen zum Absturz bringen kann.
Ursache der Schwachstelle ist ein Programmierfehler in der SSL_check_chain()-Funktion. Diese Funktion wird bei TLS-1.3-Handshakes aufgerufen. Ein Angreifer kann dieses Problem ausnutzen, indem er über den Handshake-Vorgang speziell präparierte Daten an die SSL_check_chain()-Funktion übergibt. Dies ist über die Signature-Algorithms-Cert-TLS-Erweiterung möglich. Bei dem Programmierfehler handelt es sich um ein typisches NULL-Zeiger-Dereferenzproblem.
Die Sicherheitslücke wurde von den Entwicklern in der neuen Version 1.1.1g behoben.
