An gano wani rauni a cikin ɗakin karatu na sirri na OpenSSL (har yanzu ba a sanya CVE ba), tare da taimakon wanda mai kai hari na nesa zai iya lalata abubuwan da ke cikin ƙwaƙwalwar aiki ta hanyar aika bayanan da aka kera na musamman a lokacin kafa haɗin TLS. Har yanzu ba a fayyace ko matsalar za ta iya haifar da aiwatar da code na maharan da zubewar bayanai daga ma’adanar aiki ba, ko kuma ta iyakance ga yin karo.
Rashin lahani yana bayyana a cikin OpenSSL 3.0.4 saki, wanda aka buga a ranar 21 ga Yuni, kuma yana faruwa ne ta hanyar gyara kuskure don bug a lambar wanda zai iya haifar da har zuwa 8192 bytes na bayanai ana sake rubutawa ko karantawa fiye da abin da aka keɓe. Yin amfani da rauni yana yiwuwa kawai akan tsarin x86_64 tare da goyan bayan umarnin AVX512.
Forks na OpenSSL kamar BoringSSL da LibreSSL, da kuma reshen OpenSSL 1.1.1, matsalar ba ta shafe su ba. Gyaran yana samuwa kawai azaman faci. A cikin mafi munin yanayi, matsalar na iya zama mafi haɗari fiye da raunin Zuciya, amma an rage matakin barazanar ta gaskiyar cewa raunin ya bayyana ne kawai a cikin OpenSSL 3.0.4 saki, yayin da yawancin rarrabawa ke ci gaba da jigilar 1.1.1. reshe ta tsohuwa ko har yanzu ba su sami lokacin gina sabuntawar fakiti tare da sigar 3.0.4.
source: budenet.ru