የOpenSSL ምስጠራ ቤተ መጻሕፍት 3.0.2 እና 1.1.1n የጥገና ልቀቶች አሉ። ዝማኔው አገልግሎትን ውድቅ ለማድረግ የሚያገለግል ተጋላጭነትን (CVE-2022-0778) ያስተካክላል (የተቆጣጣሪው ማለቂያ የሌለው ምልልስ)። ተጋላጭነቱን ለመጠቀም በልዩ ሁኔታ የተነደፈ የምስክር ወረቀት ማካሄድ በቂ ነው። ችግሩ በተጠቃሚ የቀረቡ የምስክር ወረቀቶችን በሚያስኬዱ በአገልጋይ እና በደንበኛ መተግበሪያዎች ላይ ይከሰታል።
ችግሩ የተፈጠረው በBN_mod_sqrt() ተግባር ውስጥ ባለ ሳንካ ሲሆን ይህም የካሬ ስር ሞዱሎ ከዋናው ቁጥር ሌላ የሆነ ነገር ሲያሰሉ ወደ ዑደቱ ይመራል። በኤሊፕቲክ ኩርባዎች ላይ በመመስረት የምስክር ወረቀቶችን ከቁልፎች ጋር ሲተነተን ተግባሩ ጥቅም ላይ ይውላል። በሰርቲፊኬቱ ውስጥ የተሳሳቱ የኤሊፕቲክ ጥምዝ መለኪያዎችን በመተካት ክዋኔው ይወርዳል። ችግሩ የተፈጠረው የምስክር ወረቀቱ ዲጂታል ፊርማ ከመረጋገጡ በፊት ስለሆነ ጥቃቱ ባልተረጋገጠ ተጠቃሚ ሊፈጽም ይችላል ይህም የደንበኛ ወይም የአገልጋይ ሰርተፍኬት OpenSSL በመጠቀም ወደ መተግበሪያዎች እንዲተላለፍ ሊያደርግ ይችላል።
ተጋላጭነቱ በOpenBSD ፕሮጀክት የተገነባውን የLibreSSL ቤተ-መጻሕፍትም ይነካል፣ ይህ ማስተካከያ በLibreSSL 3.3.6፣ 3.4.3 እና 3.5.1 ማስተካከያዎች ላይ ቀርቦ ነበር። በተጨማሪም፣ የተጋላጭነቱን መጠቀሚያ ሁኔታዎች ትንተና ታትሟል (በረዶ የሚያስከትል የተንኮል ሰርተፍኬት ምሳሌ ገና በይፋ አልተለጠፈም)።
ምንጭ: opennet.ru