OpenSSL криптографиялык китепканасынын 3.0.2 жана 1.1.1n тейлөө релиздери жеткиликтүү. Жаңыртуу кызматтан баш тартуу үчүн колдонулушу мүмкүн болгон (CVE-2022-0778) кемчиликти оңдойт (иштетүүчүнүн чексиз цикли). Алсыздыкты пайдалануу үчүн атайын иштелип чыккан сертификатты иштетүү жетиштүү. Көйгөй колдонуучу берген сертификаттарды иштете алган серверде да, кардар тиркемелеринде да пайда болот.
Көйгөй BN_mod_sqrt() функциясындагы мүчүлүштүктөн улам келип чыгат, ал квадрат тамыр модулун эсептөөдө жөнөкөй сандан башка нерсенин циклине алып келет. Функция эллиптикалык ийри сызыктарга негизделген баскычтар менен сертификаттарды талдоодо колдонулат. Операция туура эмес эллиптикалык ийри сызыктын параметрлерин сертификатка алмаштырууга туура келет. Көйгөй сертификаттын санариптик колтамгасы текшерилгенге чейин келип чыккандыктан, чабуул кардардын же сервердин сертификатынын OpenSSL аркылуу тиркемелерге берилишине себеп болушу мүмкүн болгон аутентификацияланбаган колдонуучу тарабынан ишке ашырылышы мүмкүн.
Бул аялуу OpenBSD долбоору тарабынан иштелип чыккан LibreSSL китепканасына да таасирин тийгизет, аны оңдоо LibreSSL 3.3.6, 3.4.3 жана 3.5.1 түзөтүүчү релиздеринде сунушталган. Кошумча, алсыздыкты пайдалануу шарттарына талдоо жарыяланды (тоңдурууга алып келген зыяндуу сертификаттын мисалы ачык жарыялана элек).
Source: opennet.ru