Keluaran penyelenggaraan perpustakaan kriptografi OpenSSL 3.0.2 dan 1.1.1n tersedia. Kemas kini membetulkan kelemahan (CVE-2022-0778) yang boleh digunakan untuk menyebabkan penafian perkhidmatan (gelung tak terhingga pengendali). Untuk mengeksploitasi kelemahan, cukup untuk memproses sijil yang direka khas. Masalah berlaku dalam kedua-dua pelayan dan aplikasi klien yang boleh memproses sijil yang dibekalkan pengguna.
Masalahnya disebabkan oleh pepijat dalam fungsi BN_mod_sqrt() , yang membawa kepada gelung apabila mengira modulo punca kuasa dua sesuatu selain daripada nombor perdana. Fungsi ini digunakan apabila menghuraikan sijil dengan kunci berdasarkan lengkung eliptik. Operasi datang untuk menggantikan parameter lengkung eliptik yang salah ke dalam sijil. Kerana masalah berlaku sebelum tandatangan digital sijil disahkan, serangan itu boleh dilakukan oleh pengguna yang tidak disahkan yang boleh menyebabkan sijil pelanggan atau pelayan dihantar ke aplikasi menggunakan OpenSSL.
Kerentanan juga mempengaruhi perpustakaan LibreSSL yang dibangunkan oleh projek OpenBSD, pembetulan yang telah dicadangkan dalam keluaran pembetulan LibreSSL 3.3.6, 3.4.3 dan 3.5.1. Selain itu, analisis syarat untuk mengeksploitasi kerentanan telah diterbitkan (contoh sijil berniat jahat yang menyebabkan pembekuan masih belum disiarkan secara terbuka).
Sumber: opennet.ru