Tá eisiúintí cothabhála de leabharlann cripteagrafach OpenSSL 3.0.2 agus 1.1.1n ar fáil. Socraíonn an nuashonrú leochaileacht (CVE-2022-0778) is féidir a úsáid chun seirbhís a dhiúltú (lúbú gan teorainn an láimhseálaí). Chun leas a bhaint as an leochaileacht, is leor deimhniú atá saindeartha a phróiseáil. Tarlaíonn an fhadhb i bhfeidhmchláir fhreastalaí agus chliaint araon ar féidir leo teastais arna soláthar ag an úsáideoir a phróiseáil.
Is é is cúis leis an bhfadhb ná fabht san fheidhm BN_mod_sqrt(), as a dtagann lúb nuair a bhíonn modúl fréimhe cearnógach á ríomh rud seachas príomhuimhir. Úsáidtear an fheidhm agus deimhnithe á bparsáil le heochracha bunaithe ar chuair éilipseacha. Tagann an oibríocht síos ar pharaiméadair mhíchearta cuar éilipseacha a chur in ionad an deimhnithe. Toisc go dtarlaíonn an fhadhb sula bhfíoraítear síniú digiteach an teastais, d’fhéadfadh úsáideoir neamhdheimhnithe an t-ionsaí a dhéanamh a d’fhéadfadh deimhniú cliant nó freastalaí a tharchur chuig feidhmchláir a úsáideann OpenSSL.
Bíonn tionchar ag an leochaileacht freisin ar leabharlann LibreSSL arna forbairt ag an tionscadal OpenBSD, réiteach a moladh in eisiúintí ceartaitheacha LibreSSL 3.3.6, 3.4.3 agus 3.5.1. Ina theannta sin, tá anailís ar na coinníollacha chun an leochaileacht a shaothrú foilsithe (níl sampla de dheimhniú mailíseach is cúis le reo curtha suas go poiblí fós).
Foinse: oscailtenet.ru