تم التعرف على ثغرة أمنية في مكتبة التشفير OpenSSL (لم يتم تعيين CVE بعد)، والتي يمكن للمهاجم عن بعد من خلالها إتلاف محتويات ذاكرة العملية عن طريق إرسال بيانات مصممة خصيصًا في وقت إنشاء اتصال TLS. ليس من الواضح حتى الآن ما إذا كانت المشكلة يمكن أن تؤدي إلى تنفيذ تعليمات برمجية للمهاجم وتسرب البيانات من ذاكرة العملية، أم أنها تقتصر على التعطل.
تظهر الثغرة الأمنية في إصدار OpenSSL 3.0.4، الذي تم نشره في 21 يونيو، وينتج عن إصلاح غير صحيح لخطأ في التعليمات البرمجية قد يؤدي إلى الكتابة فوق ما يصل إلى 8192 بايت من البيانات أو قراءتها خارج المخزن المؤقت المخصص. استغلال الثغرة الأمنية ممكن فقط على أنظمة x86_64 التي تدعم تعليمات AVX512.
لا تتأثر تشعبات OpenSSL مثل BoringSSL وLibreSSL، بالإضافة إلى فرع OpenSSL 1.1.1، بالمشكلة. الإصلاح متاح حاليًا كتصحيح فقط. في أسوأ السيناريوهات، يمكن أن تكون المشكلة أكثر خطورة من ثغرة Heartbleed، ولكن يتم تقليل مستوى التهديد من خلال حقيقة أن الثغرة الأمنية تظهر فقط في إصدار OpenSSL 3.0.4، بينما تستمر العديد من التوزيعات في شحن الإصدار 1.1.1 الفرع افتراضيًا أو لم يتح لك الوقت لإنشاء تحديثات الحزمة بالإصدار 3.0.4.
المصدر: opennet.ru