Daxuyaniyên lênêrînê yên pirtûkxaneya krîptografî ya OpenSSL 3.0.2 û 1.1.1n hene. Nûvekirin qelsiyek (CVE-2022-0778) rast dike ku dikare were bikar anîn da ku bibe sedema redkirina karûbarê (lêgerîna bêdawî ya hilber). Ji bo îstismarkirina qelsiyê, bes e ku meriv sertîfîkayek taybetî hatî sêwirandin. Pirsgirêk hem di serîlêdanên server û hem jî di xerîdar de pêk tê ku dikarin sertîfîkayên ku ji hêla bikarhêner ve hatî peyda kirin pêvajoyê bikin.
Pirsgirêk ji ber xeletiyek di fonksiyona BN_mod_sqrt() de çêdibe, ku dema ku modulek rûka çargoşe ji bilî jimareyek yekem tiştek din dihesibîne, rê li ber xelekekê vedike. Fonksiyon dema ku sertîfîkayên bi bişkokên li ser bingeha kelûpelên elîptîk pars dike tê bikar anîn. Operasyon bi guheztina pîvanên kemera elîptîk ên nerast di sertîfîkayê de tê. Ji ber ku pirsgirêk beriya ku îmzeya dîjîtal a sertîfîkayê were verast kirin çêdibe, dibe ku êrîş ji hêla bikarhênerek nenaskirî ve were kirin ku dikare bibe sedem ku sertîfîkayek xerîdar an serverek ji serîlêdanên bi karanîna OpenSSL re were veguheztin.
Zelalbûn di heman demê de bandorê li pirtûkxaneya LibreSSL ya ku ji hêla projeya OpenBSD ve hatî pêşve xistin jî dike, ku rastiyek ji bo wê di berdanên rastker ên LibreSSL 3.3.6, 3.4.3 û 3.5.1 de hate pêşniyar kirin. Wekî din, analîzek li ser şert û mercên ji bo îstismarkirina qelsiyê hate weşandin (mînakek sertîfîkayek xirab a ku dibe sedema cemidandinê hêj bi gelemperî nehatiye şandin).
Source: opennet.ru
