V kryptografické knihovně OpenSSL byla identifikována zranitelnost (CVE dosud nebylo přiřazeno), jejímž prostřednictvím může vzdálený útočník poškodit obsah paměti procesu odesláním speciálně navržených dat v okamžiku navázání připojení TLS. Zatím není jasné, zda problém může vést ke spuštění kódu útočníka a úniku dat z paměti procesu, nebo zda se omezuje na pád.
Tato chyba zabezpečení se objevuje ve verzi OpenSSL 3.0.4, publikované 21. června, a je způsobena nesprávnou opravou chyby v kódu, která by mohla způsobit přepsání nebo přečtení až 8192 86 bajtů dat mimo přidělenou vyrovnávací paměť. Zneužití této chyby zabezpečení je možné pouze na systémech x64_512 s podporou instrukcí AVXXNUMX.
Rozvětvení OpenSSL, jako je BoringSSL a LibreSSL, stejně jako větev OpenSSL 1.1.1, nejsou tímto problémem ovlivněny. Oprava je aktuálně dostupná pouze jako oprava. V nejhorším případě by problém mohl být nebezpečnější než zranitelnost Heartbleed, ale úroveň ohrožení je snížena skutečností, že se zranitelnost objevuje pouze ve verzi OpenSSL 3.0.4, zatímco mnoho distribucí nadále dodává 1.1.1. ve výchozím nastavení nebo jste ještě neměli čas na vytvoření aktualizací balíčků s verzí 3.0.4.
Zdroj: opennet.ru