Nailhan ang usa ka kahuyang sa OpenSSL cryptographic library (wala pa ma-assign ang CVE), uban sa tabang diin ang usa ka hilit nga tig-atake mahimong makadaot sa mga sulud sa memorya sa proseso pinaagi sa pagpadala sa espesyal nga gidisenyo nga datos sa panahon sa pagtukod og koneksyon sa TLS. Dili pa klaro kung ang problema mahimong mosangput sa pagpatuman sa code sa tig-atake ug pag-leakage sa data gikan sa memorya sa proseso, o kung kini limitado sa usa ka pagkahagsa.
Ang kahuyang makita sa OpenSSL 3.0.4 release, nga gipatik niadtong Hunyo 21, ug tungod sa sayop nga pag-ayo sa usa ka bug sa code nga mahimong moresulta sa hangtod sa 8192 bytes sa datos nga ma-overwrit o mabasa lapas pa sa gigahin nga buffer. Ang pagpahimulos sa pagkahuyang posible lamang sa mga sistema sa x86_64 nga adunay suporta alang sa mga instruksyon sa AVX512.
Ang mga tinidor sa OpenSSL sama sa BoringSSL ug LibreSSL, ingon man ang OpenSSL 1.1.1 nga sanga, dili apektado sa problema. Ang pag-ayo sa pagkakaron magamit ra ingon usa ka patch. Sa usa ka pinakagrabe nga sitwasyon nga sitwasyon, ang problema mahimong mas delikado kay sa Heartbleed vulnerability, apan ang lebel sa hulga gipakunhod sa kamatuoran nga ang pagkahuyang makita lamang sa OpenSSL 3.0.4 release, samtang daghang mga distribusyon nagpadayon sa pagpadala sa 1.1.1 branch pinaagi sa default o wala pa'y panahon sa paghimo sa mga update sa package nga adunay bersyon 3.0.4.
Source: opennet.ru