Вызовы EVP_CipherUpdate, EVP_EncryptUpdate и EVP_DecryptUpdate могут привести к переполнению аргумента длины вывода в некоторых случаях, ко…

Вызовы EVP_CipherUpdate, EVP_EncryptUpdate и EVP_DecryptUpdate могут привести к переполнению аргумента длины вывода в некоторых случаях, когда длина ввода близка к максимально допустимой длине для целого числа на платформе. В таких случаях возвращаемое значение из вызова функции будет 1 (что указывает на успех), но значение длины вывода будет отрицательным. Это может привести к некорректному поведению или сбою приложений. OpenSSL версий 1.1.1i и ниже подвержены этой проблеме. Пользователям этих версий следует обновиться до OpenSSL 1.1.1j. OpenSSL версий 1.0.2x и ниже подвержены этой проблеме. Однако OpenSSL 1.0.2 больше не поддерживается и больше не получает публичные обновления. Клиенты, пользующиеся премиум-поддержкой OpenSSL 1.0.2, должны обновиться до версии 1.0.2y. Другим пользователям следует обновиться до версии 1.1.1j. Исправлено в OpenSSL 1.1.1j (затронуты версии 1.1.1-1.1.1i). Исправлено в OpenSSL 1.0.2y (затронуты версии 1.0.2-1.0.2x).