OpenSSL криптографийн номын санд (CVE хараахан оноогдоогүй) эмзэг байдал илэрсэн бөгөөд үүний тусламжтайгаар алсын халдагч TLS холболт үүсгэх үед тусгайлан боловсруулсан өгөгдлийг илгээж процессын санах ойн агуулгыг гэмтээж болно. Асуудал нь халдагчийн кодыг гүйцэтгэх, процессын санах ойноос өгөгдөл алдагдахад хүргэж болох уу, эсвэл энэ нь сүйрлээр хязгаарлагдаж байгаа эсэх нь одоогоор тодорхойгүй байна.
Энэ эмзэг байдал нь 3.0.4-р сарын 21-нд хэвлэгдсэн OpenSSL 8192 хувилбарт гарч ирсэн бөгөөд кодонд гарсан алдааг буруу зассанаас болж 86 байт хүртэлх өгөгдлийг дарж бичих эсвэл хуваарилагдсан буферээс хэтрүүлэн уншихад хүргэж болзошгүй юм. Эмзэг байдлыг ашиглах нь зөвхөн AVX64 зааврыг дэмждэг x512_XNUMX системд боломжтой.
BoringSSL болон LibreSSL зэрэг OpenSSL-ийн сэрээ, мөн OpenSSL 1.1.1 салбар нь асуудалд өртөхгүй. Засварыг одоогоор зөвхөн засвар хэлбэрээр ашиглах боломжтой. Хамгийн муу тохиолдолд асуудал нь Heartbleed-ийн эмзэг байдлаас илүү аюултай байж болох ч энэ эмзэг байдал нь зөвхөн OpenSSL 3.0.4 хувилбар дээр гарч ирдэг тул аюулын түвшин буурч, олон түгээлтүүд 1.1.1-ийг үргэлжлүүлэн нийлүүлсээр байна. өгөгдмөлөөр салбар эсвэл 3.0.4 хувилбартай багц шинэчлэлтүүдийг хийж амжаагүй байна.
Эх сурвалж: opennet.ru