In kwetsberens is identifisearre yn 'e OpenSSL-kryptografyske bibleteek (CVE is noch net tawiisd), wêrmei't in oanfaller op ôfstân de ynhâld fan prosesûnthâld beskeadige kin troch spesjaal ûntworpen gegevens te ferstjoeren op it momint fan it meitsjen fan in TLS-ferbining. It is noch net dúdlik oft it probleem kin liede ta oanfaller koade útfiering en gegevens lekkage út proses ûnthâld, of oft it is beheind ta in crash.
De kwetsberens ferskynt yn 'e OpenSSL 3.0.4-release, publisearre op 21 juny, en wurdt feroarsake troch in ferkearde reparaasje foar in brek yn' e koade dy't resultearje kin dat maksimaal 8192 bytes oan gegevens oerskreaun wurde of lêzen bûten de tawiisde buffer. Eksploitaasje fan 'e kwetsberens is allinich mooglik op x86_64-systemen mei stipe foar AVX512-ynstruksjes.
Forks of OpenSSL lykas BoringSSL en LibreSSL, lykas de OpenSSL 1.1.1 branch, wurde net beynfloede troch it probleem. De fix is op it stuit allinich beskikber as patch. Yn in slimste gefal kin it probleem gefaarliker wêze as de Heartbleed-kwetsberens, mar it bedrigingsnivo wurdt fermindere troch it feit dat de kwetsberens allinich ferskynt yn 'e OpenSSL 3.0.4-release, wylst in protte distribúsjes trochgean mei it ferstjoeren fan de 1.1.1 standert of hawwe noch gjin tiid hân om pakketfernijings te bouwen mei ferzje 3.0.4.
Boarne: opennet.ru