Varnarleysi hefur fundist í OpenSSL dulritunarsafninu (CVE hefur ekki enn verið úthlutað), með hjálp sem fjarlægur árásarmaður getur skemmt innihald vinnsluminni með því að senda sérhönnuð gögn þegar TLS-tenging er komið á. Ekki er enn ljóst hvort vandamálið getur leitt til keyrslu árásarkóða og gagnaleka úr vinnsluminni eða hvort það takmarkast við hrun.
Varnarleysið birtist í OpenSSL 3.0.4 útgáfunni, sem gefin var út 21. júní, og stafar af rangri lagfæringu á villu í kóðanum sem gæti leitt til þess að allt að 8192 bæti af gögnum væri skrifað yfir eða lesið út fyrir úthlutað biðminni. Nýting á varnarleysinu er aðeins möguleg á x86_64 kerfum með stuðningi fyrir AVX512 leiðbeiningar.
Forks of OpenSSL eins og BoringSSL og LibreSSL, sem og OpenSSL 1.1.1 útibúið, verða ekki fyrir áhrifum af vandamálinu. Lagfæringin er sem stendur aðeins fáanleg sem plástur. Í versta falli gæti vandamálið verið hættulegra en Heartbleed varnarleysið, en ógnunarstigið minnkar vegna þess að varnarleysið birtist aðeins í OpenSSL 3.0.4 útgáfunni, á meðan margar dreifingar halda áfram að senda 1.1.1 útibú sjálfgefið eða hefur ekki enn haft tíma til að smíða pakkauppfærslur með útgáfu 3.0.4.
Heimild: opennet.ru