OpenSSL ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಲೈಬ್ರರಿ 3.0.2 ಮತ್ತು 1.1.1n ನ ನಿರ್ವಹಣೆ ಬಿಡುಗಡೆಗಳು ಲಭ್ಯವಿದೆ. ನವೀಕರಣವು ದುರ್ಬಲತೆಯನ್ನು (CVE-2022-0778) ಸರಿಪಡಿಸುತ್ತದೆ, ಅದನ್ನು ಸೇವೆಯ ನಿರಾಕರಣೆಗೆ (ಹ್ಯಾಂಡ್ಲರ್ನ ಅನಂತ ಲೂಪಿಂಗ್) ಕಾರಣವಾಗಬಹುದು. ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಲು, ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲು ಸಾಕು. ಬಳಕೆದಾರ ಸರಬರಾಜು ಮಾಡಿದ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಬಹುದಾದ ಸರ್ವರ್ ಮತ್ತು ಕ್ಲೈಂಟ್ ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ.
ಸಮಸ್ಯೆಯು BN_mod_sqrt() ಫಂಕ್ಷನ್ನಲ್ಲಿನ ದೋಷದಿಂದ ಉಂಟಾಗುತ್ತದೆ, ಇದು ಅವಿಭಾಜ್ಯ ಸಂಖ್ಯೆಗಿಂತ ಬೇರೆ ಯಾವುದನ್ನಾದರೂ ವರ್ಗಮೂಲದ ಮಾಡ್ಯೂಲೋ ಅನ್ನು ಲೆಕ್ಕಾಚಾರ ಮಾಡುವಾಗ ಲೂಪ್ಗೆ ಕಾರಣವಾಗುತ್ತದೆ. ಎಲಿಪ್ಟಿಕ್ ಕರ್ವ್ಗಳ ಆಧಾರದ ಮೇಲೆ ಕೀಲಿಗಳೊಂದಿಗೆ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಪಾರ್ಸಿಂಗ್ ಮಾಡುವಾಗ ಕಾರ್ಯವನ್ನು ಬಳಸಲಾಗುತ್ತದೆ. ಸರ್ಟಿಫಿಕೇಟ್ನಲ್ಲಿ ತಪ್ಪಾದ ಎಲಿಪ್ಟಿಕ್ ಕರ್ವ್ ಪ್ಯಾರಾಮೀಟರ್ಗಳನ್ನು ಬದಲಿಸಲು ಕಾರ್ಯಾಚರಣೆಯು ಬರುತ್ತದೆ. ಪ್ರಮಾಣಪತ್ರದ ಡಿಜಿಟಲ್ ಸಹಿಯನ್ನು ಪರಿಶೀಲಿಸುವ ಮೊದಲು ಸಮಸ್ಯೆ ಸಂಭವಿಸುವ ಕಾರಣ, ಓಪನ್ಎಸ್ಎಸ್ಎಲ್ ಬಳಸಿಕೊಂಡು ಅಪ್ಲಿಕೇಶನ್ಗಳಿಗೆ ಕ್ಲೈಂಟ್ ಅಥವಾ ಸರ್ವರ್ ಪ್ರಮಾಣಪತ್ರವನ್ನು ರವಾನಿಸಲು ಕಾರಣವಾಗುವ ದೃಢೀಕರಿಸದ ಬಳಕೆದಾರರಿಂದ ದಾಳಿಯನ್ನು ನಡೆಸಬಹುದು.
ದುರ್ಬಲತೆಯು OpenBSD ಪ್ರಾಜೆಕ್ಟ್ನಿಂದ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾದ LibreSSL ಲೈಬ್ರರಿಯ ಮೇಲೂ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ, LibreSSL 3.3.6, 3.4.3 ಮತ್ತು 3.5.1 ರ ಸರಿಪಡಿಸುವ ಬಿಡುಗಡೆಗಳಲ್ಲಿ ಈ ಪರಿಹಾರವನ್ನು ಪ್ರಸ್ತಾಪಿಸಲಾಗಿದೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಪರಿಸ್ಥಿತಿಗಳ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ (ಘನೀಕರಣಕ್ಕೆ ಕಾರಣವಾಗುವ ದುರುದ್ದೇಶಪೂರಿತ ಪ್ರಮಾಣಪತ್ರದ ಉದಾಹರಣೆಯನ್ನು ಇನ್ನೂ ಸಾರ್ವಜನಿಕವಾಗಿ ಪೋಸ್ಟ್ ಮಾಡಲಾಗಿಲ್ಲ).
ಮೂಲ: opennet.ru