Ang mga pagpagawas sa pagpadayon sa OpenSSL cryptographic library 3.0.2 ug 1.1.1n anaa. Ang pag-update nag-ayo sa usa ka kahuyang (CVE-2022-0778) nga mahimong magamit aron mahimong hinungdan sa pagdumili sa serbisyo (walay katapusan nga pag-loop sa tigdumala). Aron mapahimuslan ang pagkahuyang, igo na ang pagproseso sa usa ka espesyal nga gidisenyo nga sertipiko. Ang problema mahitabo sa mga aplikasyon sa server ug kliyente nga makaproseso sa mga sertipiko nga gihatag sa user.
Ang problema tungod sa usa ka bug sa BN_mod_sqrt() function, nga motultol ngadto sa usa ka loop sa diha nga pagkalkulo sa usa ka square root modulo usa ka butang gawas sa usa ka prime number. Ang function gigamit sa pag-parse sa mga sertipiko nga adunay mga yawe base sa elliptic curves. Ang operasyon naggikan sa pag-ilis sa dili husto nga mga parameter sa elliptic curve sa sertipiko. Tungod kay ang problema mahitabo sa wala pa mapamatud-an ang digital nga pirma sa sertipiko, ang pag-atake mahimo nga himuon sa usa ka dili kasaligan nga tiggamit nga mahimong hinungdan nga ang usa ka kliyente o sertipiko sa server mapadala sa mga aplikasyon gamit ang OpenSSL.
Ang pagkahuyang makaapekto usab sa LibreSSL library nga gimugna sa OpenBSD nga proyekto, usa ka pag-ayo nga gisugyot sa corrective releases sa LibreSSL 3.3.6, 3.4.3 ug 3.5.1. Dugang pa, usa ka pagtuki sa mga kondisyon alang sa pagpahimulos sa pagkahuyang ang gipatik (usa ka pananglitan sa usa ka malisyosong sertipiko nga hinungdan sa pagyelo wala pa ma-post sa publiko).
Source: opennet.ru