Emendatio emissio bibliothecae cryptographicae OpenSSL 3.0.7 divulgata est, quae duos vulnerabilitates constituit. Ambae quaestiones causantur per quiddam redundat in codice sanationis electronicae in X.509 libellorum et in potentia ad supplicium ducere potest cum libellum speciali effictum dispensando. In tempore publicationis fixi, tincidunt OpenSSL nullum testimonium praesentiae operis operantis non memoraverat quae ad exsecutionem codicis oppugnatoris ducere posset.
Non obstante quod prae-nuntiatio novae emissionis de praesentia quaestionis criticae commemoratur, re vera in dimissi status vulnerabilitatis in ambitu periculosus, sed non in discrimine vulnerabilitas redactus est. Iuxta regulas in incepto assumptas, periculum reducitur, si quaestio se manifestat in conformationibus atypicis vel si humilis probabilitas est abusionis vulnerabilitatis in praxi.
In hoc casu, severitas campestris redacta est quia accurata analysi vulnerabilitatis a pluribus Institutis concluditur facultatem ad codicem faciendi per abusionem impeditam per acervum redundantiam machinarum tutelae in multis suggestis adhibitis. Praeterea elaborationis extensionis in quibusdam Linux distributionibus provenit in 4 bytes qui ex terminis superimponuntur in altera quiddam in acervo, quod nondum in usu est. Fieri tamen potest ut tabulata sint quae ad exsequi codicem uti possunt.
Exitus identified:
- CVE-2022-3602 - vulnerabilitas, initio critica exhibita, inducit ad quiddam 4-byte redundantiam cum inhibens agrum cum peculiari electronica inscriptione speciali designata in libello X.509. In cliente TLS, vulnerabilitas abutitur cum coniungi servo regi ab oppugnante. In servo TLS, vulnerabilitas uti potest, si client authenticas utens testimoniales adhibetur. In hoc casu, vulnerabilitas in scaena apparet post verificationem catenae fidei cum testimonio coniungitur, i.e. Oppugnatio postulat ut auctoritas certificamenti malivolos impugnantis testimonium verificetur.
- CVE-2022-3786 alius vector est ad vulnerabilitatem abutendi CVE-2022-3602, quae in analysi problematum notatur. Differentiae coquunt ad facultatem redundandi quiddam in acervo per arbitrarium numerum bytes continentium "". (i.e. oppugnator contenta redundantiae regere non potest et quaestio nonnisi adhibita est causa applicationis ad ruinam).
Vulnerationes tantum apparent in OpenSSL 3.0.x ramo (cimex in conversionis Unicode introductus (punycode) ad 3.0.x ramo additus est). Dimissiones de OpenSSL 1.1.1, sicut et bibliothecas LibreSSL et BoringSSL in OpenSSL furca, problema non afficiuntur. Eodem tempore, in OpenSSL 1.1.1s renovatio dimissa est, quae tantum cimex fixarum securitatis non continet.
The OpenSSL 3.0 ramus in distributionibus adhibetur ut Ubuntu 22.04, Fluvius CentOS 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, ββTestis Debian/expertus. Usores harum systematum commendantur ut quam primum renovationes instituant (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). In SUSE Linux Inceptum 15 SP4 et openSUSE Leap 15.4, fasciculi cum OpenSSL 3.0 ad libitum praesto sunt, fasciculi systematis ramo 1.1.1 utuntur. Debian 1, Arch Linux, Linux, Decuria 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpina Linux 8 et FreeBSD manent in ramis OpenSSL 3.16.x.
Source: opennet.ru