OpenSSL ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಲೈಬ್ರರಿ 3.0.2 ಮತ್ತು 1.1.1n ನ ಪ್ಯಾಚಿಂಗ್ ಬಿಡುಗಡೆಗಳು ಈಗ ಲಭ್ಯವಿದೆ. ನವೀಕರಣವು ಸೇವೆಯ ನಿರಾಕರಣೆಗೆ (ಅನಂತ ಹ್ಯಾಂಡ್ಲರ್ ಲೂಪ್) ಕಾರಣವಾಗಬಹುದಾದ ದುರ್ಬಲತೆಯನ್ನು (CVE-2022-0778) ಸರಿಪಡಿಸುತ್ತದೆ. ದುರ್ಬಲತೆಯ ಶೋಷಣೆಗೆ ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲು ಒತ್ತಾಯಿಸುವ ಅಗತ್ಯವಿದೆ. ಈ ಸಮಸ್ಯೆಯು ಬಳಕೆದಾರ-ಸರಬರಾಜು ಮಾಡಿದ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಬಹುದಾದ ಸರ್ವರ್ ಮತ್ತು ಕ್ಲೈಂಟ್ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ.
ಈ ಸಮಸ್ಯೆಯು BN_mod_sqrt() ಕಾರ್ಯದಲ್ಲಿನ ದೋಷದಿಂದ ಉಂಟಾಗಿದೆ, ಇದು ಅವಿಭಾಜ್ಯವಲ್ಲದ ಮಾಡ್ಯುಲಸ್ನ ವರ್ಗಮೂಲವನ್ನು ಲೆಕ್ಕಾಚಾರ ಮಾಡುವಾಗ ಲೂಪ್ಗೆ ಕಾರಣವಾಗುತ್ತದೆ. ಈ ಕಾರ್ಯವನ್ನು ಎಲಿಪ್ಟಿಕ್ ಕರ್ವ್ ಕೀಗಳೊಂದಿಗೆ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಪಾರ್ಸ್ ಮಾಡಲು ಬಳಸಲಾಗುತ್ತದೆ. ಶೋಷಣೆಯು ಅಮಾನ್ಯ ಎಲಿಪ್ಟಿಕ್ ಕರ್ವ್ ನಿಯತಾಂಕಗಳನ್ನು ಪ್ರಮಾಣಪತ್ರಕ್ಕೆ ಬದಲಿಸುವುದನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ. ಪ್ರಮಾಣಪತ್ರದ ಡಿಜಿಟಲ್ ಸಹಿಯನ್ನು ಪರಿಶೀಲಿಸುವ ಮೊದಲು ಸಮಸ್ಯೆಯು ಸ್ವತಃ ಪ್ರಕಟವಾಗುವುದರಿಂದ, OpenSSL ಬಳಸಿಕೊಂಡು ಕ್ಲೈಂಟ್ ಅಥವಾ ಸರ್ವರ್ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಅಪ್ಲಿಕೇಶನ್ಗಳಿಗೆ ವರ್ಗಾಯಿಸಲು ಒತ್ತಾಯಿಸಬಹುದಾದ ದೃಢೀಕರಿಸದ ಬಳಕೆದಾರರಿಂದ ದಾಳಿಯನ್ನು ನಡೆಸಬಹುದು.
ಈ ದುರ್ಬಲತೆಯು OpenBSD ಯೋಜನೆಯಿಂದ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾದ LibreSSL ಲೈಬ್ರರಿಯ ಮೇಲೂ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ, ಇದಕ್ಕಾಗಿ LibreSSL 3.3.6, 3.4.3, ಮತ್ತು 3.5.1 ಪ್ಯಾಚ್ ಬಿಡುಗಡೆಗಳಲ್ಲಿ ಪರಿಹಾರವನ್ನು ಪ್ರಸ್ತಾಪಿಸಲಾಗಿದೆ. ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಪರಿಸ್ಥಿತಿಗಳ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಸಹ ಪ್ರಕಟಿಸಲಾಗಿದೆ (ಹ್ಯಾಂಗ್ಗೆ ಕಾರಣವಾಗುವ ದುರುದ್ದೇಶಪೂರಿತ ಪ್ರಮಾಣಪತ್ರದ ಉದಾಹರಣೆಯನ್ನು ಇನ್ನೂ ಸಾರ್ವಜನಿಕಗೊಳಿಸಲಾಗಿಲ್ಲ).
ಮೂಲ: opennet.ru
