Aithníodh leochaileacht i leabharlann cripteagrafach OpenSSL (níl CVE sannta go fóill), lenar féidir le cianionsaitheoir damáiste a dhéanamh d’ábhar cuimhne próisis trí shonraí saindeartha a sheoladh nuair a bhunaítear nasc TLS. Níl sé soiléir fós an bhféadfadh forghníomhú cód ionsaitheora agus sceitheadh sonraí ó chuimhne próisis a bheith mar thoradh ar an bhfadhb, nó an bhfuil sé teoranta do thimpiste.
Tá an leochaileacht le feiceáil i scaoileadh OpenSSL 3.0.4, a foilsíodh ar 21 Meitheamh, agus is cúis leis sin ná ceartú mícheart ar fhabht sa chód a d’fhéadfadh go ndéanfaí suas le 8192 beart sonraí a fhorscríobh nó a léamh thar an maolán leithdháilte. Ní féidir leas a bhaint as an leochaileacht ach amháin ar chórais x86_64 le tacaíocht do threoracha AVX512.
Ní chuireann an fhadhb isteach ar fhorcanna OpenSSL mar BoringSSL agus LibreSSL, chomh maith le brainse OpenSSL 1.1.1. Níl an socrú ar fáil faoi láthair ach mar phaiste. I gcás is measa, d'fhéadfadh an fhadhb a bheith níos contúirtí ná an leochaileacht Heartbleed, ach laghdaítear an leibhéal bagairt toisc nach bhfuil an leochaileacht le feiceáil ach amháin i scaoileadh OpenSSL 3.0.4, agus leanann go leor dáileacháin ag seoladh an 1.1.1 brainse de réir réamhshocraithe nó nach raibh am acu fós nuashonruithe pacáiste a thógáil le leagan 3.0.4.
Foinse: oscailtenet.ru