OpenSSL 暗号化ライブラリ (CVE はまだ割り当てられていません) に脆弱性が確認されました。この脆弱性を悪用すると、リモート攻撃者は TLS 接続の確立時に特別に設計されたデータを送信し、プロセス メモリの内容に損害を与える可能性があります。 この問題が攻撃者のコード実行やプロセスメモリからのデータ漏洩につながる可能性があるのか、それともクラッシュに限定されるのかはまだ明らかになっていない。
この脆弱性は、3.0.4 月 21 日に公開された OpenSSL 8192 リリースに存在し、コード内のバグに対する誤った修正が原因で発生し、最大 86 バイトのデータが上書きされるか、割り当てられたバッファを超えて読み取られる可能性があります。 この脆弱性の悪用は、AVX64 命令をサポートする x512_XNUMX システムでのみ可能です。
BoringSSL や LibreSSL などの OpenSSL のフォーク、および OpenSSL 1.1.1 ブランチは、この問題の影響を受けません。 この修正は現在パッチとしてのみ利用可能です。 最悪のシナリオでは、この問題は Heartbleed 脆弱性よりも危険である可能性がありますが、多くのディストリビューションでは引き続き 3.0.4 を出荷しているのに対し、この脆弱性は OpenSSL 1.1.1 リリースにのみ存在するという事実により、脅威レベルは軽減されています。デフォルトでブランチを選択しているか、バージョン 3.0.4 でパッケージ更新をビルドする時間がまだありません。
出所: オープンネット.ru