Dostupna su izdanja za održavanje OpenSSL kriptografske biblioteke 3.0.2 i 1.1.1n. Ažuriranje popravlja ranjivost (CVE-2022-0778) koja se može koristiti da izazove uskraćivanje usluge (beskonačno petlje rukovaoca). Da biste iskoristili ranjivost, dovoljno je obraditi posebno dizajnirani certifikat. Problem se javlja iu serverskim i klijentskim aplikacijama koje mogu obraditi certifikate koje je dostavio korisnik.
Problem je uzrokovan greškom u funkciji BN_mod_sqrt(), koja dovodi do petlje pri izračunavanju kvadratnog korijena po modulu nečeg drugog osim jednostavnog broja. Funkcija se koristi kada se raščlanjuju certifikati s ključevima na osnovu eliptičkih krivulja. Operacija se svodi na zamjenu pogrešnih parametara eliptičke krive u certifikat. Budući da se problem javlja prije nego što se potvrdi digitalni potpis certifikata, napad bi mogao izvršiti neautorizirani korisnik koji bi mogao uzrokovati da se certifikat klijenta ili servera prenese aplikacijama koje koriste OpenSSL.
Ranjivost takođe utiče na LibreSSL biblioteku razvijenu od strane OpenBSD projekta, za koju je popravka predložena u korektivnim izdanjima LibreSSL-a 3.3.6, 3.4.3 i 3.5.1. Dodatno, objavljena je analiza uslova za iskorišćavanje ranjivosti (primjer zlonamjernog certifikata koji uzrokuje zamrzavanje još uvijek nije javno objavljen).
izvor: opennet.ru