Chaidh so-leòntachd a chomharrachadh ann an leabharlann criptografach OpenSSL (cha deach CVE a shònrachadh fhathast), le cuideachadh bhon urrainn neach-ionnsaigh iomallach cron a dhèanamh air susbaint cuimhne pròiseas le bhith a’ cur dàta a chaidh a dhealbhadh gu sònraichte aig àm stèidheachadh ceangal TLS. Chan eil e soilleir fhathast an urrainn don duilgheadas leantainn gu coileanadh còd ionnsaigh agus aodion dàta bho chuimhne pròiseas, no a bheil e cuingealaichte ri tubaist.
Tha an so-leòntachd a’ nochdadh anns an fhoillseachadh OpenSSL 3.0.4, a chaidh fhoillseachadh air 21 Ògmhios, agus tha e air adhbhrachadh le suidheachadh ceàrr airson bug sa chòd a dh’ fhaodadh leantainn gu suas ri 8192 bytes de dhàta air a sgrìobhadh thairis no air a leughadh taobh a-muigh a’ bhufair ainmichte. Chan urrainnear an so-leòntachd a chleachdadh ach air siostaman x86_64 le taic airson stiùireadh AVX512.
Chan eil an duilgheadas a’ toirt buaidh air forcaichean OpenSSL leithid BoringSSL agus LibreSSL, a bharrachd air meur OpenSSL 1.1.1. Chan eil am fuasgladh ri fhaighinn an-dràsta ach mar phaiste. Anns an t-suidheachadh as miosa, dh ’fhaodadh an duilgheadas a bhith nas cunnartaiche na so-leòntachd Heartbleed, ach tha an ìre bagairt air a lughdachadh leis gu bheil an so-leòntachd a’ nochdadh a-mhàin ann an sgaoileadh OpenSSL 3.0.4, fhad ‘s a tha mòran sgaoilidhean fhathast a’ cur an 1.1.1 air falbh. meur gu bunaiteach no chan eil ùine air a bhith aca fhathast airson ùrachaidhean pacaid a thogail le dreach 3.0.4.
Source: fosgailtenet.ru