OpenSSL криптограф номын сангийн 3.0.2 болон 1.1.1n-ийн засвар үйлчилгээний хувилбаруудыг ашиглах боломжтой. Шинэчлэлт нь үйлчилгээ үзүүлэхээс татгалзахад (хариуцагчийн хязгааргүй давталт) ашиглаж болох эмзэг байдлыг (CVE-2022-0778) засдаг. Эмзэг байдлыг ашиглахын тулд тусгайлан боловсруулсан гэрчилгээг боловсруулахад хангалттай. Асуудал нь хэрэглэгчийн нийлүүлсэн гэрчилгээг боловсруулах боломжтой сервер болон үйлчлүүлэгчийн програмуудад тохиолддог.
Асуудал нь BN_mod_sqrt() функцийн алдаанаас үүдэлтэй бөгөөд энэ нь квадрат язгуурын модулийг тооцоолохдоо анхны тооноос өөр ямар нэг давталт үүсгэдэг. Энэ функцийг зууван муруй дээр суурилсан түлхүүрээр гэрчилгээг задлан шинжлэхэд ашигладаг. Үйл ажиллагаа нь буруу зууван муруй параметрүүдийг гэрчилгээнд орлуулахад хүргэдэг. Сертификатын тоон гарын үсгийг баталгаажуулахаас өмнө асуудал гардаг тул энэ халдлагыг баталгаажуулаагүй хэрэглэгч үйлдэж, үйлчлүүлэгч эсвэл серверийн гэрчилгээг OpenSSL ашиглан програм руу дамжуулахад хүргэж болзошгүй.
Энэ эмзэг байдал нь OpenBSD төслөөс боловсруулсан LibreSSL номын санд мөн нөлөөлсөн бөгөөд засварыг LibreSSL 3.3.6, 3.4.3, 3.5.1-ийн залруулах хувилбаруудад санал болгосон. Нэмж дурдахад, эмзэг байдлыг ашиглах нөхцөл байдлын дүн шинжилгээг нийтэлсэн (хөлдөхөд хүргэдэг хортой гэрчилгээний жишээг олон нийтэд хараахан нийтлээгүй байна).
Эх сурвалж: opennet.ru