Nun haveblas ĝisdatigoj por korekti la ĉifritan bibliotekon OpenSSL 3.0.2 kaj 1.1.1n. La ĝisdatigo korektas vundeblecon (CVE-2022-0778), kiu povas esti ekspluatata por kaŭzi neon de servo (senfina buklo de prizorgado). Ekspluato de la vundebleco postulas simple devigi speciale kreitan atestilon esti prilaborita. La problemo influas kaj servilajn kaj klientajn aplikaĵojn, kiuj povas prilabori uzanto-provizitajn atestilojn.
La problemon kaŭzas cimo en la funkcio BN_mod_sqrt(), kiu kaŭzas buklon dum kalkulado de la kvadrata radiko de ne-prima modulo. Ĉi tiu funkcio estas uzata por analizi atestilojn kun elipsaj kurbaj ŝlosiloj. Ekspluatado implikas anstataŭigi malvalidajn elipsajn kurbajn parametrojn en la atestilon. Ĉar la problemo manifestiĝas antaŭ ol la cifereca subskribo de la atestilo estas kontrolita, la atako povas esti farita de neaŭtentikita uzanto, kiu povas devigi la translokigon de klienta aŭ servila atestilo al aplikaĵoj uzantaj OpenSSL.
La vundebleco ankaŭ influas la LibreSSL-bibliotekon disvolvitan de la projekto OpenBSD, por kiu solvo estis proponita en la LibreSSL 3.3.6, 3.4.3 kaj 3.5.1-pecetoj. Analizo de la kondiĉoj por ekspluati la vundeblecon ankaŭ estis publikigita (ekzemplo de malica atestilo kaŭzanta la blokiĝon ankoraŭ ne estas publikigita).
fonto: opennet.ru
