En sårbarhed er blevet identificeret i OpenSSL-krypteringsbiblioteket (CVE er endnu ikke blevet tildelt), ved hjælp af hvilken en fjernangriber kan beskadige indholdet af proceshukommelsen ved at sende specialdesignede data på tidspunktet for etablering af en TLS-forbindelse. Det er endnu ikke klart, om problemet kan føre til angriberkodekørsel og datalækage fra proceshukommelsen, eller om det er begrænset til et nedbrud.
Sårbarheden vises i OpenSSL 3.0.4-udgivelsen, der blev offentliggjort den 21. juni, og er forårsaget af en forkert rettelse af en fejl i koden, der kan resultere i, at op til 8192 bytes data bliver overskrevet eller læst ud over den tildelte buffer. Udnyttelse af sårbarheden er kun mulig på x86_64-systemer med understøttelse af AVX512-instruktioner.
Forks of OpenSSL såsom BoringSSL og LibreSSL, såvel som OpenSSL 1.1.1-grenen, er ikke berørt af problemet. Rettelsen er i øjeblikket kun tilgængelig som en patch. I det værste tilfælde kan problemet være farligere end Heartbleed-sårbarheden, men trusselsniveauet reduceres af, at sårbarheden kun vises i OpenSSL 3.0.4-udgivelsen, mens mange distributioner fortsætter med at sende 1.1.1 branch som standard eller har endnu ikke haft tid til at bygge pakkeopdateringer med version 3.0.4.
Kilde: opennet.ru