Viðhaldsútgáfur OpenSSL dulritunarsafnsins 3.0.2 og 1.1.1n eru fáanlegar. Uppfærslan lagar varnarleysi (CVE-2022-0778) sem hægt er að nota til að valda afneitun á þjónustu (óendanlega lykkju á meðhöndlun). Til að nýta veikleikann er nóg að vinna úr sérhönnuðu vottorði. Vandamálið kemur upp bæði í netþjóna- og biðlaraforritum sem geta unnið úr notendaskilríkjum.
Vandamálið stafar af villu í BN_mod_sqrt() fallinu, sem leiðir til lykkju þegar reiknað er kvaðratrót modulo eitthvað annað en prímtala. Aðgerðin er notuð þegar skilríki eru flokkuð með lyklum sem byggjast á sporöskjulaga ferlum. Aðgerð kemur niður á því að skipta út röngum sporöskjulaga ferilbreytum í vottorðið. Vegna þess að vandamálið kemur upp áður en stafræn undirskrift vottorðsins er staðfest gæti árásin verið framkvæmd af óvottaðri notanda sem gæti valdið því að viðskiptavinur eða netþjónsvottorð sé sent til forrita sem nota OpenSSL.
Varnarleysið hefur einnig áhrif á LibreSSL bókasafnið sem er þróað af OpenBSD verkefninu, lagfæring á því var lögð til í leiðréttingarútgáfum LibreSSL 3.3.6, 3.4.3 og 3.5.1. Að auki hefur verið birt greining á skilyrðum fyrir að nýta veikleikann (dæmi um illgjarn vottorð sem veldur frystingu hefur ekki enn verið birt opinberlega).
Heimild: opennet.ru