Ana samun sakewa na buɗe ɗakin karatu na sirri na OpenSSL 3.0.2 da 1.1.1n. Sabuntawa yana gyara lahani (CVE-2022-0778) wanda za'a iya amfani dashi don haifar da ƙin sabis (madaidaicin madaidaicin mai sarrafa). Don cin gajiyar raunin, ya isa a aiwatar da takaddun shaida na musamman. Matsalar tana faruwa a duka uwar garken da aikace-aikacen abokin ciniki waɗanda zasu iya aiwatar da takaddun shaida da mai amfani ya kawo.
Matsalar tana faruwa ne ta hanyar kwaro a cikin aikin BN_mod_sqrt(), wanda ke haifar da madauki lokacin da ake ƙididdige tushen tushen murabba'in modulo wani abu banda babban lamba. Ana amfani da aikin lokacin da ake tantance takaddun shaida tare da maɓalli bisa lanƙwasa elliptic. Aiki ya sauko zuwa musanya madaidaicin madaidaicin lanƙwasa a cikin takardar shaidar. Saboda matsalar tana faruwa ne kafin a tabbatar da sa hannun dijital na takardar shaidar, wani mai amfani mara inganci zai iya kai harin wanda zai iya sa abokin ciniki ko takardar shaidar uwar garken aika zuwa aikace-aikace ta amfani da OpenSSL.
Rashin lahani kuma yana shafar ɗakin karatu na LibreSSL wanda aikin OpenBSD ya haɓaka, gyara wanda aka gabatar dashi a cikin gyaran gyaran LibreSSL 3.3.6, 3.4.3 da 3.5.1. Bugu da ƙari, an buga nazarin yanayin yin amfani da rashin lahani (misalin takardar shedar mugunta da ke haifar da daskarewa har yanzu ba a buga a bainar jama'a ba).
source: budenet.ru