OpenSSL kriptografinėje bibliotekoje (CVE dar nepriskirta) nustatytas pažeidžiamumas, kurio pagalba nuotolinis užpuolikas gali sugadinti proceso atminties turinį, siųsdamas specialiai sukurtus duomenis TLS ryšio užmezgimo metu. Kol kas neaišku, ar problema gali sukelti užpuoliko kodo vykdymą ir duomenų nutekėjimą iš proceso atminties, ar tai apsiriboja gedimu.
Pažeidžiamumas atsiranda OpenSSL 3.0.4 leidime, paskelbtame birželio 21 d., ir jį sukėlė neteisingas kodo klaidos pataisymas, dėl kurio gali būti perrašyta arba nuskaityta iki 8192 86 baitų duomenų, viršijančių paskirtą buferį. Išnaudoti pažeidžiamumą galima tik x64_512 sistemose, kuriose palaikomos AVXXNUMX instrukcijos.
„OpenSSL“ šakutės, tokios kaip „BoringSSL“ ir „LibreSSL“, taip pat „OpenSSL 1.1.1“ šakos, ši problema neturi įtakos. Pataisa šiuo metu galima tik kaip pataisa. Blogiausiu atveju problema gali būti pavojingesnė nei „Heartbleed“ pažeidžiamumas, tačiau grėsmės lygį sumažina tai, kad pažeidžiamumas atsiranda tik OpenSSL 3.0.4 leidime, o daugelis platinimų ir toliau pristato 1.1.1 versiją. filialas pagal numatytuosius nustatymus arba dar nespėjo sukurti paketo naujinimų su 3.0.4 versija.
Šaltinis: opennet.ru