یک بهروزرسانی منتشرشده برای پروتکل OpenSSL، آسیبپذیری با شدت بالایی را که میتواند برای راهاندازی حملات منع سرویس (DoS) مورد بهرهبرداری قرار بگیرد، وصله میکند. این آسیبپذیری که با شناسهی CVE-2020-1967 ردیابی میشود، بهعنوان یک خطای تقسیمبندی در تابع SSL_check_chain توصیف شده است.
در مشاورهنامهی این آسیبپذیری آمده است، برنامههای سرور یا کلاینتی که تابع ()SSL_check_chain را در حین یا بعد از دستتکانی TLS 1.3 فراخوانی میکنند، ممکن است بهدلیل عدم دستیابی به اشارهگر NULL در نتیجهی بررسی نادرست افزونهی signature_algorithms_cert در TLS، آسیب ببینند.
این اتفاق درصورتی رخ میدهد که یک الگوریتم امضای نامعتبر یا ناشناخته از طرف نظیر دریافت شود. این موضوع میتواند توسط یک نظیر مخرب در حملهی منع سرویس مورد بهرهبرداری قرار بگیرد.
طبق گزارشها، این آسیبپذیری نسخههای ۱٫۱٫۱d، ۱٫۱٫۱e و ۱٫۱٫۱f پروتکل OpenSSL را تحت تأثیر قرار داده و با انتشار نسخهی ۱٫۱٫۱g وصله شده است. نسخههای قدیمیتر ۱٫۰٫۲ و ۱٫۱٫۰ که دیگر بهروزرسانی امنیتی دریافت نمیکنند، تحت تأثیر این نقص قرار ندارند. این حفرهی امنیتی که توسط آنالایزر کد استاتیک GCC کشف شده، اولین آسیبپذیری است که در سال ۲۰۲۰ میلادی برای پروتکل OpenSSL به ثبت رسیده است. همانطورکه پیش از این گزارش شد، امنیت OpenSSL از زمان افشای آسیبپذیری Heartbleed در سال ۲۰۱۴ میلادی، پیشرفت زیادی کرده است.