OpenSSL kriptoqrafik kitabxanasının 3.0.2 və 1.1.1n texniki xidmət buraxılışları mövcuddur. Güncəlləmə xidmətdən imtinaya səbəb olmaq üçün istifadə edilə bilən zəifliyi (CVE-2022-0778) düzəldir (işləyicinin sonsuz döngəsi). Zəiflikdən istifadə etmək üçün xüsusi hazırlanmış sertifikatı emal etmək kifayətdir. Problem həm server, həm də istifadəçi tərəfindən verilən sertifikatları emal edə bilən müştəri proqramlarında baş verir.
Problem BN_mod_sqrt() funksiyasındakı səhvdən qaynaqlanır ki, bu da kvadrat kök modulunu əsas ədəddən başqa bir şey hesablayan zaman döngəyə gətirib çıxarır. Funksiya elliptik əyrilərə əsaslanan düymələrlə sertifikatları təhlil edərkən istifadə olunur. Əməliyyat sertifikata yanlış elliptik əyri parametrlərinin dəyişdirilməsi ilə bağlıdır. Problem sertifikatın rəqəmsal imzasının yoxlanılmasından əvvəl baş verdiyi üçün hücum, müştəri və ya server sertifikatının OpenSSL istifadə edərək tətbiqlərə ötürülməsinə səbəb ola biləcək, təsdiqlənməmiş istifadəçi tərəfindən həyata keçirilə bilər.
Boşluq, həmçinin, LibreSSL 3.3.6, 3.4.3 və 3.5.1-in düzəldici buraxılışlarında təklif edilən OpenBSD layihəsi tərəfindən hazırlanmış LibreSSL kitabxanasına da təsir göstərir. Bundan əlavə, zəiflikdən istifadə şərtlərinin təhlili dərc edilmişdir (dondurulmağa səbəb olan zərərli sertifikat nümunəsi hələ açıq şəkildə yerləşdirilməyib).
Mənbə: opennet.ru