Идентификувана е ранливост во криптографската библиотека OpenSSL (CVE сè уште не е доделена), со помош на која далечинскиот напаѓач може да ја оштети содржината на процесната меморија со испраќање специјално дизајнирани податоци во моментот на воспоставување на TLS врска. Сè уште не е јасно дали проблемот може да доведе до извршување на кодот на напаѓачот и истекување на податоци од процесната меморија или дали е ограничен на пад.
Ранливоста се појавува во изданието OpenSSL 3.0.4, објавено на 21 јуни, и е предизвикано од неправилно поправање на грешка во кодот што може да резултира со препишување или читање до 8192 бајти податоци надвор од доделениот бафер. Експлоатацијата на ранливоста е можна само на системите x86_64 со поддршка за инструкциите AVX512.
Вилушките на OpenSSL како што се BoringSSL и LibreSSL, како и гранката OpenSSL 1.1.1, не се засегнати од проблемот. Поправката во моментов е достапна само како лепенка. Во најлошото сценарио, проблемот може да биде поопасен од ранливоста на Heartbleed, но нивото на закана е намалено со фактот што ранливоста се појавува само во изданието OpenSSL 3.0.4, додека многу дистрибуции продолжуваат да ја испорачуваат 1.1.1 разгранете стандардно или сè уште немавте време да изградите ажурирања на пакети со верзијата 3.0.4.
Извор: opennet.ru