OpenSSL 暗号化ライブラリ 3.0.2 および 1.1.1n のメンテナンス リリースが利用可能です。 この更新プログラムは、サービス拒否 (ハンドラーの無限ループ) を引き起こすために使用される可能性のある脆弱性 (CVE-2022-0778) を修正します。 この脆弱性を悪用するには、特別に設計された証明書を処理するだけで十分です。 この問題は、ユーザーが提供した証明書を処理できるサーバー アプリケーションとクライアント アプリケーションの両方で発生します。
この問題は、BN_mod_sqrt() 関数のバグによって発生します。このバグにより、素数以外の平方根を法として計算するときにループが発生します。 この関数は、楕円曲線に基づくキーを使用して証明書を解析するときに使用されます。 操作は、結局のところ、証明書に不正な楕円曲線パラメーターを置き換えることになります。 この問題は証明書のデジタル署名が検証される前に発生するため、認証されていないユーザーによって攻撃が実行され、クライアントまたはサーバーの証明書が OpenSSL を使用するアプリケーションに送信される可能性があります。
この脆弱性は、OpenBSD プロジェクトによって開発された LibreSSL ライブラリにも影響を及ぼします。このライブラリに対する修正は、LibreSSL 3.3.6、3.4.3、および 3.5.1 の修正リリースで提案されています。 さらに、この脆弱性の悪用条件の分析結果も公開されています(フリーズを引き起こす悪意のある証明書の例はまだ公開されていません)。
出所: オープンネット.ru