Das OpenSSL-Team warnt vor einem Sicherheitsproblem der Bibliothek (CVE-2020-1971). Es hat den Schweregrad "hoch" und kann laut dem Security Advisory zu einem Programmabsturz durch einen Null-Pointer-Zugriff führen. Betroffen sind alle Versionen von OpenSSL 1.0.2 und 1.1.1 vor dem fehlerbereinigten OpenSSL 1.1.1i.
Ein Aufruf der Funktion GENERAL_NAME_cmp kann den Fehler auslösen, die zwei X509-Namen vom Typ EDIPARTYNAME vergleicht, erklärt das Advisory des OpenSSL-Teams. Den könnte ein Angreifer auslösen, indem er einen Client oder einen Server mit einem speziell präparierten Zertifikat dazu bringt, dessen Angaben gegen eine bösartige Sperrliste (CRL) abzugleichen.
Quelle: OpenSSL behebt Speicherfehler | heise online