OpenSSL kriptoqrafik kitabxanasında boşluq müəyyən edilib (CVE hələ təyin olunmayıb), onun köməyi ilə uzaqdan hücum edən şəxs TLS bağlantısının qurulması zamanı xüsusi hazırlanmış məlumatları göndərərək proses yaddaşının məzmununu zədələyə bilər. Problemin hücumçu kodunun icrasına və proses yaddaşından məlumat sızmasına səbəb olub-olmadığı, yoxsa qəza ilə məhdudlaşdığı hələ aydın deyil.
Boşluq 3.0.4 iyunda dərc edilmiş OpenSSL 21 buraxılışında görünür və kodda 8192 bayta qədər məlumatın üzərinə yazılması və ya ayrılmış buferdən kənarda oxunması ilə nəticələnə bilən səhvin səhv düzəldilməsi ilə əlaqədardır. Zəiflikdən istifadə yalnız AVX86 təlimatlarını dəstəkləyən x64_512 sistemlərində mümkündür.
BoringSSL və LibreSSL kimi OpenSSL çəngəlləri, həmçinin OpenSSL 1.1.1 filialı problemdən təsirlənmir. Düzəliş hazırda yalnız yamaq kimi mövcuddur. Ən pis vəziyyət ssenarisində problem Heartbleed zəifliyindən daha təhlükəli ola bilər, lakin təhlükə səviyyəsi zəifliyin yalnız OpenSSL 3.0.4 buraxılışında görünməsi ilə azalır, bir çox paylamalar isə 1.1.1-i göndərməyə davam edir. defolt olaraq filial və ya 3.0.4 versiyası ilə paket yeniləmələrini qurmağa hələ vaxtınız olmayıb.
Mənbə: opennet.ru