OpenSSL криптографиялык китепканасында алсыздык аныкталган (CVE али дайындала элек), анын жардамы менен алыскы чабуулчу TLS байланышын орнотуу учурунда атайын иштелип чыккан маалыматтарды жөнөтүү менен процесстик эстутумдун мазмунуна зыян келтириши мүмкүн. Көйгөй чабуулчу коддун аткарылышына жана процесстин эс тутумунан маалыматтардын агып кетишине алып келиши мүмкүнбү же ал кыйроо менен гана чектелип жатабы, азырынча белгисиз.
Алсыздык 3.0.4-июнда жарыяланган OpenSSL 21 релизинде пайда болот жана коддогу мүчүлүштүктөрдү туура эмес оңдоодон улам келип чыгат, анын натыйжасында 8192 байтка чейин маалымат кайра жазылып же бөлүнгөн буферден тышкары окулушу мүмкүн. Алсыздыкты пайдалануу AVX86 нускамаларын колдогон x64_512 системаларында гана мүмкүн.
BoringSSL жана LibreSSL сыяктуу OpenSSL айрыларына, ошондой эле OpenSSL 1.1.1 бутагына көйгөй таасир этпейт. Түзөтүү учурда патч катары гана жеткиликтүү. Эң начар сценарийде, көйгөй Heartbleed аялуулугуна караганда кооптуураак болушу мүмкүн, бирок коркунучтун деңгээли аялуу OpenSSL 3.0.4 релизинде гана пайда болгондугу менен төмөндөйт, ал эми көптөгөн дистрибьюторлор 1.1.1 жөнөтүүнү улантууда. демейки боюнча бутактуу же 3.0.4 версиясы менен пакет жаңыртууларын курууга үлгүрө элек.
Source: opennet.ru