Prizorgaj eldonoj de la kriptografa biblioteko OpenSSL 3.0.2 kaj 1.1.1n estas haveblaj. La ĝisdatigo korektas vundeblecon (CVE-2022-0778), kiu povas esti uzata por kaŭzi servonon (senfina buklo de la prizorganto). Por ekspluati la vundeblecon, sufiĉas prilabori speciale desegnitan atestilon. La problemo okazas en kaj servilaj kaj klientaj aplikaĵoj, kiuj povas prilabori atestojn provizitajn de uzantuloj.
La problemo estas kaŭzita de cimo en la funkcio BN_mod_sqrt(), kiu kondukas al buklo dum kalkulado de kvadrata radiko modulo io alia ol primo. La funkcio estas uzata dum analizado de atestiloj kun ŝlosiloj bazitaj sur elipsaj kurboj. Operacio venas al anstataŭigo de malĝustaj elipsaj kurbaj parametroj en la atestilon. Ĉar la problemo okazas antaŭ ol la cifereca subskribo de la atestilo estas kontrolita, la atako povus esti farita de neaŭtentikigita uzanto kiu povus kaŭzi klienton aŭ servilatestilon esti transdonita al aplikoj uzantaj OpenSSL.
La vundebleco ankaŭ influas la LibreSSL-bibliotekon evoluigitan de la OpenBSD-projekto, por kiu solvo estis proponita en la korektaj eldonoj de LibreSSL 3.3.6, 3.4.3 kaj 3.5.1. Aldone, analizo de la kondiĉoj por ekspluati la vundeblecon estis publikigita (ekzemplo de malica atestilo, kiu kaŭzas frostigon, ankoraŭ ne estis publike afiŝita).
fonto: opennet.ru