Gheibhear fiosan cumail suas leabharlann criptografach OpenSSL 3.0.2 agus 1.1.1n. Bidh an t-ùrachadh a ’càradh so-leòntachd (CVE-2022-0778) a dh’ fhaodar a chleachdadh gus seirbheis a dhiùltadh (lùbadh neo-chrìochnach den inneal-làimhseachaidh). Gus brath a ghabhail air so-leòntachd, tha e gu leòr teisteanas a chaidh a dhealbhadh gu sònraichte a phròiseasadh. Tha an duilgheadas a’ tachairt an dà chuid ann an tagraidhean frithealaiche is teachdaiche as urrainn teisteanasan a chuir an neach-cleachdaidh a làimhseachadh.
Tha an duilgheadas air adhbhrachadh le bug anns a’ ghnìomh BN_mod_sqrt(), a tha a’ leantainn gu lùb nuair a thathar a’ tomhas modulo freumh ceàrnagach rudeigin a bharrachd air prìomh àireamh. Tha an gnìomh air a chleachdadh nuair a thathar a’ parsadh theisteanasan le iuchraichean stèidhichte air lùban elliptic. Tha gnìomhachd an urra ri bhith a’ cur crìochan lùbte elliptic ceàrr a-steach don teisteanas. Leis gu bheil an duilgheadas a’ tachairt mus tèid ainm-sgrìobhte didseatach an teisteanais a dhearbhadh, dh’ fhaodadh an ionnsaigh a bhith air a dhèanamh le neach-cleachdaidh gun dearbhadh a dh’ adhbharaicheas teisteanas teachdaiche no frithealaiche a chuir gu tagraidhean a’ cleachdadh OpenSSL.
Tha an so-leòntachd cuideachd a’ toirt buaidh air leabharlann LibreSSL a chaidh a leasachadh leis a’ phròiseact OpenBSD, fuasgladh a chaidh a mholadh anns na fiosan ceartachaidh de LibreSSL 3.3.6, 3.4.3 agus 3.5.1. A bharrachd air an sin, chaidh mion-sgrùdadh air na cumhaichean airson a bhith a’ gabhail brath air so-leòntachd fhoillseachadh (cha deach eisimpleir de theisteanas droch-rùnach a dh’ adhbhraicheas reothadh fhoillseachadh gu poblach fhathast).
Source: fosgailtenet.ru