K dispozici jsou verze údržby kryptografické knihovny OpenSSL 3.0.2 a 1.1.1n. Aktualizace opravuje chybu zabezpečení (CVE-2022-0778), kterou lze použít k odmítnutí služby (nekonečné zacyklení obslužné rutiny). Pro zneužití zranitelnosti stačí zpracovat speciálně navržený certifikát. Problém nastává v serverových i klientských aplikacích, které mohou zpracovávat certifikáty dodané uživatelem.
Problém je způsoben chybou ve funkci BN_mod_sqrt(), která vede ke smyčce při výpočtu modulo druhé odmocniny něco jiného než prvočíslo. Funkce se používá při analýze certifikátů s klíči založenými na eliptických křivkách. Operace spočívá v nahrazení nesprávných parametrů eliptické křivky do certifikátu. Protože k problému dochází před ověřením digitálního podpisu certifikátu, mohl by útok provést neověřený uživatel, který by mohl způsobit přenos klientského nebo serverového certifikátu do aplikací využívajících OpenSSL.
Tato chyba zabezpečení se týká také knihovny LibreSSL vyvinuté projektem OpenBSD, jejíž oprava byla navržena v opravných vydáních LibreSSL 3.3.6, 3.4.3 a 3.5.1. Kromě toho byla zveřejněna analýza podmínek pro zneužití zranitelnosti (příklad škodlivého certifikátu, který způsobuje zmrazení, dosud nebyl veřejně zveřejněn).
Zdroj: opennet.ru