OpenSSL liburutegi kriptografikoan ahultasun bat identifikatu da (CVE ez da oraindik esleitu), eta horren laguntzaz urruneko erasotzaile batek prozesuko memoriaren edukia kaltetu dezake TLS konexioa ezartzeko unean bereziki diseinatutako datuak bidaliz. Oraindik ez dago argi arazoa erasotzaileen kodea exekutatzeko eta prozesuko memoriatik datuen ihesa ekar dezakeen edo hutsegite batera mugatzen den.
Ahultasuna ekainaren 3.0.4ean argitaratutako OpenSSL 21 bertsioan agertzen da, eta kodearen akats baten konponketa oker baten ondorioz sortu da, eta horrek 8192 byte arteko datu gainidatzi edo esleitutako bufferetik haratago irakur daitezke. Ahultasunaren ustiapena AVX86 argibideetarako laguntza duten x64_512 sistemetan soilik posible da.
BoringSSL eta LibreSSL bezalako OpenSSL-en sardexkak, eta baita OpenSSL 1.1.1 adarra ere, ez dira arazoak eragiten. Konponketa adabaki gisa soilik dago eskuragarri. Egoera txarrenean, arazoa Heartbleed ahultasuna baino arriskutsuagoa izan liteke, baina mehatxu maila murrizten da ahultasuna OpenSSL 3.0.4 bertsioan bakarrik agertzen delako, banaketa askok 1.1.1 bidaltzen jarraitzen duten bitartean. adarra lehenespenez edo oraindik ez duzu paketeen eguneraketak eraikitzeko astirik izan 3.0.4 bertsioarekin.
Iturria: opennet.ru