OpenSSL 3.0.2 eta 1.1.1n liburutegi kriptografikoen mantentze-oharpenak eskuragarri daude. Eguneraketak ahultasun bat (CVE-2022-0778) konpontzen du, zerbitzuaren ukapena eragiteko erabil daitekeena (kudeatzailearen begizta infinitua). Ahultasuna ustiatzeko, nahikoa da bereziki diseinatutako ziurtagiri bat prozesatzea. Arazoa erabiltzaileek emandako ziurtagiriak prozesatu ditzaketen zerbitzari nahiz bezero aplikazioetan gertatzen da.
Arazoa BN_mod_sqrt() funtzioaren akats batek eragiten du, eta horrek begizta bat eragiten du erro karratu bat zenbaki lehen bat ez den beste zerbait kalkulatzean. Funtzioa kurba eliptikoetan oinarritutako gakoekin ziurtagiriak analizatzean erabiltzen da. Eragiketa kurba eliptiko okerreko parametroak ziurtagirian ordezkatzean datza. Arazoa ziurtagiriaren sinadura digitala egiaztatu baino lehen gertatzen denez, erasoa autentifikatu gabeko erabiltzaile batek egin dezake eta bezero edo zerbitzariaren ziurtagiria OpenSSL erabiliz aplikazioetara igortzea eragin dezake.
Ahultasunak OpenBSD proiektuak garatutako LibreSSL liburutegiari ere eragiten dio, eta horren konponketa LibreSSL 3.3.6, 3.4.3 eta 3.5.1 bertsio zuzentzaileetan proposatu zen. Gainera, ahultasuna ustiatzeko baldintzen analisia argitaratu da (izoztea eragiten duen ziurtagiri gaizto baten adibidea oraindik ez da publikoki argitaratu).
Iturria: opennet.ru