Kerentanan wis diidentifikasi ing perpustakaan kriptografi OpenSSL (CVE durung ditugasake), kanthi bantuan penyerang remot bisa ngrusak isi memori proses kanthi ngirim data sing dirancang khusus nalika nggawe sambungan TLS. Ora jelas manawa masalah kasebut bisa nyebabake eksekusi kode panyerang lan bocor data saka memori proses, utawa mung kacilakan.
Kerentanan kasebut katon ing rilis OpenSSL 3.0.4, diterbitake tanggal 21 Juni, lan disebabake kesalahan kesalahan ing kode sing bisa nyebabake data nganti 8192 bita ditindih utawa diwaca ngluwihi buffer sing diparengake. Eksploitasi kerentanan mung bisa ditindakake ing sistem x86_64 kanthi dhukungan kanggo instruksi AVX512.
Forks OpenSSL kayata BoringSSL lan LibreSSL, uga cabang OpenSSL 1.1.1, ora kena pengaruh masalah kasebut. Perbaikan saiki mung kasedhiya minangka tembelan. Ing skenario paling awon, masalah bisa luwih mbebayani tinimbang kerentanan Heartbleed, nanging tingkat ancaman dikurangi amarga kerentanan kasebut mung katon ing release OpenSSL 3.0.4, dene akeh distribusi terus ngirim 1.1.1. cabang minangka standar utawa durung duwe wektu kanggo mbangun nganyari paket karo versi 3.0.4.
Source: opennet.ru