Dostupna su izdanja za održavanje OpenSSL kriptografske biblioteke 3.0.2 i 1.1.1n. Ažuriranje ispravlja ranjivost (CVE-2022-0778) koja se može koristiti za uzrok uskraćivanja usluge (beskonačna petlja rukovatelja). Da biste iskoristili ranjivost, dovoljno je obraditi posebno dizajniran certifikat. Problem se javlja iu poslužiteljskim i u klijentskim aplikacijama koje mogu obraditi certifikate koje je dostavio korisnik.
Problem je uzrokovan greškom u funkciji BN_mod_sqrt(), koja dovodi do petlje pri izračunavanju kvadratnog korijena po modulu nečega što nije primarni broj. Funkcija se koristi pri raščlanjivanju certifikata s ključevima temeljenim na eliptičnim krivuljama. Rad se svodi na zamjenu netočnih parametara eliptične krivulje u certifikat. Budući da se problem javlja prije nego što se potvrdi digitalni potpis certifikata, napad bi mogao izvesti neautorizirani korisnik koji bi mogao uzrokovati prijenos certifikata klijenta ili poslužitelja aplikacijama koje koriste OpenSSL.
Ranjivost također utječe na biblioteku LibreSSL koju je razvio OpenBSD projekt, a popravak za koji je predložen u korektivnim izdanjima LibreSSL 3.3.6, 3.4.3 i 3.5.1. Dodatno, objavljena je analiza uvjeta za iskorištavanje ranjivosti (primjer malicioznog certifikata koji uzrokuje zamrzavanje još nije javno objavljen).
Izvor: opennet.ru