
<div dir="auto"><div>[CVE-2021-3711] (<a href="https://www.openssl.org/news/secadv/20210824.txt">https://www.openssl.org/news/secadv/20210824.txt</a>) only applies to SM2 decryption, i.e., it is not related to the digital signature or key exchange algorithms in the SM2 family.</div><div dir="auto"><br></div><div dir="auto">In the 1.1.1 branch of OpenSSL, libssl does not support RFC 8998, but in any case RFC 8998 only involves the digital signature and key exchange algorithms of SM2, not the public key encryption algorithm for which the security advisory has been released.</div><div dir="auto"><br></div><div dir="auto">As such only applications programmatically using the SM2 public key encryption algorithm (and decryption in particular) should be affected by the mentioned security advisory. </div><div dir="auto"><br></div><div dir="auto">Best regards,</div><div dir="auto"><br></div><div dir="auto">Nicola Tuveri<br><br><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">On Fri, Aug 27, 2021, 15:40 Michael Wojcik <<a href="mailto:Michael.Wojcik@microfocus.com">Michael.Wojcik@microfocus.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div lang="EN-US" link="#0563C1" vlink="#954F72" style="word-wrap:break-word">

<div class="m_-9209258313483844614WordSection1">

<p class="MsoNormal">I imagine I could figure this out by reading the source, but does the SM2 fix (the high-severity issue for OpenSSL 1.1.1l) apply to TLS using SMx (RFC 8998), or just to applications that use SM2 directly via the EVP API? It wasn't clear

 from the announcement, unless I missed something.<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">We'll be picking up 1.1.1l shortly, but I'd like to be able to clarify the situation for management and customers.<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">-- <u></u><u></u></p>

<p class="MsoNormal">Michael Wojcik<u></u><u></u></p>

</div>

</div>


</blockquote></div></div></div>