Yo te idantifye yon vilnerabilite nan bibliyotèk kriptografik OpenSSL (CVE poko te plase), avèk èd nan ki yon atakè aleka ka domaje sa ki nan memwa pwosesis la lè li voye done ki fèt espesyalman nan moman etabli yon koneksyon TLS. Li poko klè si pwoblèm nan ka mennen nan ekzekisyon kòd atakè ak flit done nan memwa pwosesis, oswa si li limite a yon aksidan.
Vilnerabilite a parèt nan lage OpenSSL 3.0.4, ki te pibliye 21 jen, epi li te koze pa yon ranje kòrèk pou yon ensèk nan kòd la ki ta ka lakòz jiska 8192 octets nan done yo te ranplase oswa li pi lwen pase tanpon atribye ba a. Eksplwatasyon vilnerabilite a posib sèlman sou sistèm x86_64 ak sipò pou enstriksyon AVX512.
Forks nan OpenSSL tankou BoringSSL ak LibreSSL, osi byen ke OpenSSL 1.1.1 branch lan, yo pa afekte pa pwoblèm nan. Kouran ranje a disponib sèlman kòm yon patch. Nan yon pi move senaryo, pwoblèm nan ta ka pi danjere pase vilnerabilite Heartbleed, men nivo menas la redwi pa lefèt ke vilnerabilite a parèt sèlman nan lage OpenSSL 3.0.4 la, pandan ke anpil distribisyon kontinye voye 1.1.1 la. branch pa default oswa yo poko gen tan yo bati mizajou pake ak vèsyon 3.0.4.
Sous: opennet.ru