OpenSSL এবং LibreSSL-এ দুর্বলতা যা ভুল সার্টিফিকেট প্রক্রিয়া করার সময় একটি লুপের দিকে নিয়ে যায়

OpenSSL ক্রিপ্টোগ্রাফিক লাইব্রেরি 3.0.2 এবং 1.1.1n-এর রক্ষণাবেক্ষণ প্রকাশ পাওয়া যায়। আপডেটটি একটি দুর্বলতা (CVE-2022-0778) ঠিক করে যা পরিষেবা অস্বীকার করার জন্য ব্যবহার করা যেতে পারে (হ্যান্ডলারের অসীম লুপিং)। দুর্বলতা শোষণ করতে, এটি একটি বিশেষভাবে ডিজাইন করা শংসাপত্র প্রক্রিয়া করার জন্য যথেষ্ট। সমস্যাটি সার্ভার এবং ক্লায়েন্ট অ্যাপ্লিকেশন উভয় ক্ষেত্রেই ঘটে যা ব্যবহারকারী দ্বারা সরবরাহ করা শংসাপত্রগুলি প্রক্রিয়া করতে পারে৷

সমস্যাটি BN_mod_sqrt() ফাংশনে একটি বাগ দ্বারা সৃষ্ট, যা একটি মৌলিক সংখ্যা ছাড়া অন্য কিছু বর্গমূল মডিউল গণনা করার সময় একটি লুপের দিকে নিয়ে যায়। উপবৃত্তাকার বক্ররেখার উপর ভিত্তি করে কী দিয়ে শংসাপত্র পার্স করার সময় ফাংশনটি ব্যবহার করা হয়। অপারেশনটি শংসাপত্রে ভুল উপবৃত্তাকার বক্ররেখা পরামিতি প্রতিস্থাপন করার জন্য নেমে আসে। কারণ শংসাপত্রের ডিজিটাল স্বাক্ষর যাচাই করার আগে সমস্যাটি দেখা দেয়, আক্রমণটি একটি অপ্রমাণিত ব্যবহারকারী দ্বারা পরিচালিত হতে পারে যার কারণে একটি ক্লায়েন্ট বা সার্ভার শংসাপত্র OpenSSL ব্যবহার করে অ্যাপ্লিকেশনগুলিতে প্রেরণ করা হতে পারে৷

দুর্বলতা ওপেনবিএসডি প্রকল্প দ্বারা তৈরি LibreSSL লাইব্রেরিকেও প্রভাবিত করে, যার জন্য LibreSSL 3.3.6, 3.4.3 এবং 3.5.1 এর সংশোধনমূলক রিলিজে প্রস্তাব করা হয়েছিল। অতিরিক্তভাবে, দুর্বলতাকে কাজে লাগানোর শর্তগুলির একটি বিশ্লেষণ প্রকাশিত হয়েছে (একটি দূষিত শংসাপত্রের একটি উদাহরণ যা হিমায়িত হওয়ার কারণ এখনও প্রকাশ্যে পোস্ট করা হয়নি)।

উত্স: opennet.ru