Di pirtûkxaneya krîptografî ya OpenSSL de qelsiyek hate nas kirin (CVE hîn nehatiye destnîşan kirin), bi alîkariya wê êrîşkarek ji dûr ve dikare zirarê bide naveroka bîranîna pêvajoyê bi şandina daneyên taybetî yên sêwirandî di dema damezrandina pêwendiyek TLS de. Hîn ne diyar e ka pirsgirêk dikare bibe sedema darvekirina koda êrîşkar û rijandina daneyê ji bîranîna pêvajoyê, an gelo ew bi têkçûnekê ve sînorkirî ye.
Zelalbûn di serbestberdana OpenSSL 3.0.4 de, ku di 21ê Hezîranê de hate weşandin, xuya dike, û ji ber rastkirinek çewt a xeletiyek di kodê de ye ku dikare bibe sedema ku heya 8192 byte daneyan were nivîsandin an jî li derveyî tampona veqetandî were xwendin. Kêmkirina qelsiyê tenê li ser pergalên x86_64 bi piştgirîkirina rêwerzên AVX512 gengaz e.
Forkên OpenSSL yên wekî BoringSSL û LibreSSL, û her weha şaxê OpenSSL 1.1.1, ji pirsgirêkê bandor nabin. Rastkirin niha tenê wekî patchê heye. Di senaryoyek herî xirab de, dibe ku pirsgirêk ji xirapbûna Heartbleed xeternaktir be, lê asta xetereyê ji ber vê yekê kêm dibe ku qelsî tenê di serbestberdana OpenSSL 3.0.4 de xuya dike, dema ku gelek belavok şandina 1.1.1 berdewam dikin. şaxek ji hêla xwerû ve an jî hîna wexta avakirina nûvekirinên pakêtê bi guhertoya 3.0.4 re nebûye.
Source: opennet.ru