Ana fitar da facin 3.0.2 da 1.1.1n na buɗe ɗakin karatu na sirri na OpenSSL yanzu. Sabuntawa yana gyara rauni (CVE-2022-0778) wanda za'a iya amfani dashi don haifar da ƙin sabis (madaidaicin madaidaicin madaidaicin). Yin amfani da raunin yana buƙatar kawai tilasta takaddun da aka kera na musamman don sarrafa. Batun yana shafar duka uwar garken da aikace-aikacen abokin ciniki waɗanda zasu iya aiwatar da takaddun shaida da mai amfani ya kawo.
Matsalar ta samo asali ne ta hanyar bug a cikin aikin BN_mod_sqrt(), wanda ke haifar da madauki yayin ƙididdige tushen murabba'in maɗaukakin maɗaukakin maɗaukaki. Ana amfani da wannan aikin don tantance takaddun shaida tare da maɓallan lanƙwasa elliptic. Yin amfani ya haɗa da musanya madaidaitan lanƙwasa mara inganci a cikin takaddun shaida. Tun da batun ya bayyana kansa kafin a tabbatar da sa hannun dijital na takardar shaidar, mai amfani mara inganci na iya kai harin wanda zai iya tilasta canja wurin abokin ciniki ko takardar shaidar uwar garken zuwa aikace-aikace ta amfani da OpenSSL.
Rashin lahani kuma yana shafar ɗakin karatu na LibreSSL wanda aikin OpenBSD ya haɓaka, wanda aka ba da shawarar gyara a cikin sakin facin LibreSSL 3.3.6, 3.4.3, da 3.5.1. An kuma buga nazarin yanayin yin amfani da raunin (misali takardar shedar mugunta da ke haddasa ratayewa har yanzu ba a bayyana jama'a ba).
source: budenet.ru
