OpenSSL ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಲೈಬ್ರರಿಯಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ಗುರುತಿಸಲಾಗಿದೆ (CVE ಅನ್ನು ಇನ್ನೂ ನಿಯೋಜಿಸಲಾಗಿಲ್ಲ), ಇದರ ಸಹಾಯದಿಂದ ರಿಮೋಟ್ ಆಕ್ರಮಣಕಾರರು TLS ಸಂಪರ್ಕವನ್ನು ಸ್ಥಾಪಿಸುವ ಸಮಯದಲ್ಲಿ ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಡೇಟಾವನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ಪ್ರಕ್ರಿಯೆಯ ಮೆಮೊರಿಯ ವಿಷಯಗಳನ್ನು ಹಾನಿಗೊಳಿಸಬಹುದು. ಸಮಸ್ಯೆಯು ಆಕ್ರಮಣಕಾರರ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಮತ್ತು ಪ್ರಕ್ರಿಯೆ ಮೆಮೊರಿಯಿಂದ ಡೇಟಾ ಸೋರಿಕೆಗೆ ಕಾರಣವಾಗಬಹುದು ಅಥವಾ ಇದು ಕ್ರ್ಯಾಶ್ಗೆ ಸೀಮಿತವಾಗಿದೆಯೇ ಎಂಬುದು ಇನ್ನೂ ಸ್ಪಷ್ಟವಾಗಿಲ್ಲ.
ಜೂನ್ 3.0.4 ರಂದು ಪ್ರಕಟವಾದ OpenSSL 21 ಬಿಡುಗಡೆಯಲ್ಲಿ ದುರ್ಬಲತೆಯು ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ ಮತ್ತು ಕೋಡ್ನಲ್ಲಿನ ದೋಷದ ತಪ್ಪಾದ ಪರಿಹಾರದಿಂದಾಗಿ 8192 ಬೈಟ್ಗಳ ಡೇಟಾವನ್ನು ತಿದ್ದಿ ಬರೆಯಬಹುದು ಅಥವಾ ನಿಗದಿಪಡಿಸಿದ ಬಫರ್ನ ಆಚೆಗೆ ಓದಬಹುದು. ದುರ್ಬಲತೆಯ ಶೋಷಣೆ AVX86 ಸೂಚನೆಗಳಿಗೆ ಬೆಂಬಲದೊಂದಿಗೆ x64_512 ಸಿಸ್ಟಮ್ಗಳಲ್ಲಿ ಮಾತ್ರ ಸಾಧ್ಯ.
OpenSSL ನ ಫೋರ್ಕ್ಗಳಾದ BoringSSL ಮತ್ತು LibreSSL, ಹಾಗೆಯೇ OpenSSL 1.1.1 ಶಾಖೆಯು ಸಮಸ್ಯೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗಿಲ್ಲ. ಪರಿಹಾರವು ಪ್ರಸ್ತುತ ಪ್ಯಾಚ್ ಆಗಿ ಮಾತ್ರ ಲಭ್ಯವಿದೆ. ಕೆಟ್ಟ ಸನ್ನಿವೇಶದಲ್ಲಿ, ಸಮಸ್ಯೆಯು ಹಾರ್ಟ್ಬ್ಲೀಡ್ ದುರ್ಬಲತೆಗಿಂತ ಹೆಚ್ಚು ಅಪಾಯಕಾರಿಯಾಗಿರಬಹುದು, ಆದರೆ ಅಪಾಯದ ಮಟ್ಟವು ಓಪನ್ಎಸ್ಎಸ್ಎಲ್ 3.0.4 ಬಿಡುಗಡೆಯಲ್ಲಿ ಮಾತ್ರ ಗೋಚರಿಸುತ್ತದೆ ಎಂಬ ಅಂಶದಿಂದ ಬೆದರಿಕೆಯ ಮಟ್ಟವನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತದೆ, ಆದರೆ ಅನೇಕ ವಿತರಣೆಗಳು 1.1.1 ಅನ್ನು ರವಾನಿಸುವುದನ್ನು ಮುಂದುವರಿಸುತ್ತವೆ. ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಶಾಖೆ ಅಥವಾ ಆವೃತ್ತಿ 3.0.4 ನೊಂದಿಗೆ ಪ್ಯಾಕೇಜ್ ನವೀಕರಣಗಳನ್ನು ನಿರ್ಮಿಸಲು ಇನ್ನೂ ಸಮಯವನ್ನು ಹೊಂದಿಲ್ಲ.
ಮೂಲ: opennet.ru