Sustentationem emissiones bibliothecae cryptographicae OpenSSL 3.0.2 et 1.1.1n in promptu sunt. Renovatio vulnerabilitatem figit (CVE-2022-0778) quae adhiberi potest ad negationem servitutis (infinitae looping tracti). Ad vulnerabilitatem abutendam, satis est ad libellum de processu speciali destinato. Difficultas est in applicationibus servientis et clientis quae possunt processus usoris testimoniales supplere.
Problema causatur a cimex in functione BN_mod_sqrt() quae ansam ducit cum modulo radicis quadratae aliquid praeter primum numerum computans. Munus adhibetur cum parsing testimonium cum clavibus innixum curvis ellipticis. Operatio descendit ut curvae ellipticae falsae in testimonium parametri substituantur. Quia problema occurrit antequam subscriptio digitalis certificaretur, impetus fieri potuit ab usore legitimo, qui clientem vel ministratorem libellum causare potuit ad applicationes per OpenSSL transmittendas.
Vulnerabilitas etiam afficit bibliothecam LibreSSL ab OpenBSD project evolutam, cuius figmentum propositum fuit in emenda emissione LibreSSL 3.3.6, 3.4.3 et 3.5.1. Accedit analysis condicionum ad abutendum vulnerabilitatem divulgatam (exemplum malitiosae certificationis causarum congelatio nondum publice missae).
Source: opennet.ru