በOpenSSL ምስጠራ ቤተ-መጽሐፍት ውስጥ ተጋላጭነት ተለይቷል (CVE ገና አልተመደበም)፣ በዚህ እርዳታ የርቀት አጥቂ የTLS ግንኙነት በሚፈጠርበት ጊዜ በልዩ ሁኔታ የተነደፈ ውሂብ በመላክ የሂደቱን ማህደረ ትውስታ ይዘት ሊጎዳ ይችላል። ችግሩ ወደ አጥቂ ኮድ ማስፈጸሚያ እና ከሂደት ማህደረ ትውስታ ወደ ዳታ መፍሰስ ይመራ እንደሆነ ወይም በአደጋ ላይ የተገደበ ስለመሆኑ እስካሁን ግልጽ አይደለም።
ተጋላጭነቱ በሰኔ 3.0.4 ላይ በሚታተመው የOpenSSL 21 ልቀት ላይ ይታያል እና በኮዱ ውስጥ ላለ ስህተት ትክክለኛ ማስተካከያ ምክንያት እስከ 8192 ባይት ውሂብ ከተመደበው ቋት በላይ እንዲፃፍ ወይም እንዲነበብ ሊያደርግ ይችላል። የተጋላጭነት ብዝበዛ የሚቻለው ለ AVX86 መመሪያዎች ድጋፍ ያለው በ x64_512 ሲስተሞች ላይ ብቻ ነው።
እንደ BoringSSL እና LibreSSL ያሉ የOpenSSL ሹካዎች እንዲሁም የOpenSSL 1.1.1 ቅርንጫፍ በችግሩ አይነኩም። ማስተካከያው በአሁኑ ጊዜ እንደ ማጣበቂያ ብቻ ይገኛል። በጣም በከፋ ሁኔታ ችግሩ ከ Heartbleed ተጋላጭነት የበለጠ አደገኛ ሊሆን ይችላል፣ ነገር ግን ተጋላጭነቱ በ OpenSSL 3.0.4 መለቀቅ ላይ ብቻ በመታየቱ የአደጋው መጠን ቀንሷል፣ ብዙ ስርጭቶች 1.1.1 ን ማጓጓዝ ሲቀጥሉ ቅርንጫፍ በነባሪ ወይም የጥቅል ማሻሻያዎችን በስሪት 3.0.4 ለመገንባት ገና ጊዜ አላገኙም።
ምንጭ: opennet.ru