Una vulnerabilità hè stata identificata in a libreria criptografica OpenSSL (CVE ùn hè ancu statu assignatu), cù l'aiutu di quale un attaccu remota pò dannà u cuntenutu di a memoria di prucessu mandendu dati apposta à u mumentu di stabilisce una cunnessione TLS. Ùn hè ancu chjaru se u prublema pò purtà à l'esekzione di codice attaccante è a fuga di dati da a memoria di prucessu, o s'ellu hè limitatu à un crash.
A vulnerabilità apparisce in a versione OpenSSL 3.0.4, publicata u 21 di ghjugnu, è hè causata da una correzione incorrecta per un bug in u codice chì puderia risultà à 8192 bytes di dati chì sò soprascritti o leghje oltre u buffer attribuitu. A sfruttamentu di a vulnerabilità hè pussibule solu nantu à i sistemi x86_64 cù supportu per l'istruzzioni AVX512.
Forks di OpenSSL cum'è BoringSSL è LibreSSL, è ancu a filiera OpenSSL 1.1.1, ùn sò micca affettati da u prublema. A correzione hè attualmente dispunibule solu cum'è patch. In u peghju scenariu, u prublema puderia esse più periculosa cà a vulnerabilità Heartbleed, ma u livellu di minaccia hè ridutta da u fattu chì a vulnerabilità appare solu in a versione OpenSSL 3.0.4, mentre chì assai distribuzioni cuntinueghjanu à spedinu a 1.1.1. ramu per difettu o ùn anu ancu avutu u tempu di custruisce l'aghjurnamenti di u pacchettu cù a versione 3.0.4.
Source: opennet.ru