Vedligeholdelsesudgivelser af OpenSSL kryptografiske bibliotek 3.0.2 og 1.1.1n er tilgængelige. Opdateringen retter en sårbarhed (CVE-2022-0778), der kan bruges til at forårsage lammelsesangreb (uendelig looping af handleren). For at udnytte sårbarheden er det nok at behandle et specialdesignet certifikat. Problemet opstår i både server- og klientapplikationer, der kan behandle brugerleverede certifikater.
Problemet er forårsaget af en fejl i BN_mod_sqrt()-funktionen, som fører til en løkke, når man beregner en kvadratrodsmodulo noget andet end et primtal. Funktionen bruges ved parsing af certifikater med nøgler baseret på elliptiske kurver. Betjening kommer ned til at erstatte forkerte elliptiske kurveparametre i certifikatet. Fordi problemet opstår, før certifikatets digitale signatur er verificeret, kan angrebet udføres af en uautoriseret bruger, som kan forårsage, at et klient- eller servercertifikat overføres til applikationer, der bruger OpenSSL.
Sårbarheden påvirker også LibreSSL-biblioteket udviklet af OpenBSD-projektet, en rettelse, som blev foreslået i de korrigerende udgivelser af LibreSSL 3.3.6, 3.4.3 og 3.5.1. Derudover er der offentliggjort en analyse af betingelserne for at udnytte sårbarheden (et eksempel på et ondsindet certifikat, der forårsager frysning, er endnu ikke blevet offentliggjort).
Kilde: opennet.ru