OpenSSL में Punycode भेद्यता होने की वजह
(words.filippo.io)- 3.07 रिलीज़ ने जिस भेद्यता को ठीक किया, उसकी कहानी
- Punycode, Unicode को ASCII में encode करने का एक तरीका है और DNS में इस्तेमाल होता है
- इसे संभालने वाले
ossl_punycode_decodeफ़ंक्शन में overflow हुआ, इसलिए पैच किया गया - यह फ़ंक्शन वास्तव में केवल X.509 chain फ़ीचर में email address पर Name Constraints लागू करते समय ही इस्तेमाल होता है
1 टिप्पणियां
दुनिया भर में सुरक्षा संकट, OpenSSL की गंभीर भेद्यता का पता चला
OpenSSL 3.0 - CVE-2022-3602, CVE-2022-3786 भेद्यताएँ और उनके लिए उपायों का सार