Հասանելի են OpenSSL ծածկագրային գրադարանի 3.0.2 և 1.1.1n սպասարկման թողարկումները: Թարմացումը շտկում է խոցելիությունը (CVE-2022-0778), որը կարող է օգտագործվել ծառայության մերժման պատճառ դառնալու համար (մշակողի անսահման շրջադարձ): Խոցելիությունը շահագործելու համար բավական է մշակել հատուկ մշակված վկայականը։ Խնդիրն առաջանում է ինչպես սերվերի, այնպես էլ հաճախորդի հավելվածներում, որոնք կարող են մշակել օգտվողի կողմից տրամադրված վկայագրերը:
Խնդիրն առաջանում է BN_mod_sqrt() ֆունկցիայի սխալի պատճառով, որը տանում է դեպի հանգույց՝ պարզ թվից բացի քառակուսի արմատի մոդուլը հաշվարկելիս: Ֆունկցիան օգտագործվում է էլիպսային կորերի վրա հիմնված ստեղներով վկայագրերը վերլուծելիս: Գործողությունը հանգում է այն բանին, որ սխալ էլիպսային կորի պարամետրերը փոխարինվեն վկայագրում: Քանի որ խնդիրն առաջանում է նախքան վկայագրի թվային ստորագրության ստուգումը, հարձակումը կարող է իրականացվել չհաստատված օգտատիրոջ կողմից, որը կարող է պատճառ դառնալ, որ հաճախորդը կամ սերվերի վկայականը փոխանցվի OpenSSL-ի օգտագործող հավելվածներին:
Խոցելիությունը ազդում է նաև OpenBSD նախագծի կողմից մշակված LibreSSL գրադարանի վրա, որի ուղղումն առաջարկվել է LibreSSL 3.3.6, 3.4.3 և 3.5.1 ուղղիչ թողարկումներում: Բացի այդ, հրապարակվել է խոցելիության օգտագործման պայմանների վերլուծություն (չարամիտ վկայագրի օրինակ, որը սառեցում է առաջացնում, դեռ հրապարակայնորեն չի հրապարակվել):
Source: opennet.ru