E versioni di mantenimentu di a libreria criptografica OpenSSL 3.0.2 è 1.1.1n sò dispunibili. L'aghjurnamentu corregge una vulnerabilità (CVE-2022-0778) chì pò esse usata per causà denial of service (looping infinitu di u gestore). Per sfruttà a vulnerabilità, hè abbastanza per processà un certificatu apposta. U prublema si trova in l'applicazioni di u servitore è di u cliente chì ponu processà i certificati furniti da l'utilizatori.
U prublema hè causatu da un bug in a funzione BN_mod_sqrt (), chì porta à un ciclu quandu si calcula una radica quadrata modulo qualcosa altru ch'è un numeru primu. A funzione hè aduprata per analizà i certificati cù chjavi basati in curve ellittiche. L'operazione si riduce à rimpiazzà paràmetri di curva ellittica incorrecta in u certificatu. Perchè u prublema si trova prima chì a firma digitale di u certificatu hè verificatu, l'attaccu puderia esse realizatu da un utilizatore micca autenticatu chì puderia causà un certificatu di cliente o servitore per esse trasmessi à l'applicazioni cù OpenSSL.
A vulnerabilità afecta ancu a libreria LibreSSL sviluppata da u prughjettu OpenBSD, una correzione per quale hè stata pruposta in i versioni currettivi di LibreSSL 3.3.6, 3.4.3 è 3.5.1. Inoltre, una analisi di e cundizioni per sfruttà a vulnerabilità hè stata publicata (un esempiu di un certificatu maliziusu chì provoca a congelazione ùn hè ancu publicatu publicamente).
Source: opennet.ru