In der kryptografischen Bibliothek von OpenSSL wurde eine Schwachstelle entdeckt (CVE wurde noch nicht zugewiesen), mit deren Hilfe ein Remote-Angreifer den Inhalt des Prozessspeichers beschädigen kann, indem er beim Aufbau einer TLS-Verbindung speziell entwickelte Daten sendet. Es ist noch nicht klar, ob das Problem zur Ausführung von Angreifercode und zum Verlust von Daten aus dem Prozessspeicher führen kann oder ob es sich auf einen Absturz beschränkt.
Die Sicherheitslücke taucht in der am 3.0.4. Juni veröffentlichten Version von OpenSSL 21 auf und wird durch eine falsche Behebung eines Fehlers im Code verursacht, der dazu führen könnte, dass bis zu 8192 Byte Daten überschrieben oder über den zugewiesenen Puffer hinaus gelesen werden. Das Ausnutzen der Schwachstelle ist nur auf x86_64-Systemen mit Unterstützung für AVX512-Anweisungen möglich.
Forks von OpenSSL wie BoringSSL und LibreSSL sowie der OpenSSL 1.1.1-Zweig sind von dem Problem nicht betroffen. Der Fix ist derzeit nur als Patch verfügbar. Im schlimmsten Fall könnte das Problem gefährlicher sein als die Heartbleed-Schwachstelle, die Bedrohungsstufe wird jedoch durch die Tatsache verringert, dass die Schwachstelle nur in der OpenSSL-Version 3.0.4 auftritt, während viele Distributionen weiterhin Version 1.1.1 ausliefern branch standardmäßig installiert oder hatten noch keine Zeit, Paketaktualisierungen mit Version 3.0.4 zu erstellen.
Source: opennet.ru