Ġiet identifikata vulnerabbiltà fil-librerija kriptografika OpenSSL (CVE għadu ma ġiex assenjat) li permezz tagħha attakkant remot jista 'jagħmel ħsara lill-kontenut tal-memorja tal-proċess billi jibgħat data ddisinjata apposta fil-ħin li tiġi stabbilita konnessjoni TLS. Għadu mhux ċar jekk il-problema tistax twassal għall-eżekuzzjoni tal-kodiċi tal-attakkant u t-tnixxija tad-dejta mill-memorja tal-proċess, jew jekk hijiex limitata għal ħabta.
Il-vulnerabbiltà tidher fir-rilaxx ta' OpenSSL 3.0.4, ippubblikat fil-21 ta' Ġunju, u hija kkawżata minn soluzzjoni mhux korretta għal bug fil-kodiċi li tista' tirriżulta f'kitba fuq 8192 bytes ta' dejta jew tinqara lil hinn mill-buffer allokat. L-isfruttament tal-vulnerabbiltà huwa possibbli biss fuq sistemi x86_64 b'appoġġ għall-istruzzjonijiet AVX512.
Frieket ta 'OpenSSL bħal BoringSSL u LibreSSL, kif ukoll il-fergħa OpenSSL 1.1.1, mhumiex affettwati mill-problema. It-tiswija bħalissa hija disponibbli biss bħala garża. Fl-agħar xenarju, il-problema tista 'tkun aktar perikoluża mill-vulnerabbiltà Heartbleed, iżda l-livell ta' theddida huwa mnaqqas mill-fatt li l-vulnerabbiltà tidher biss fir-rilaxx OpenSSL 3.0.4, filwaqt li ħafna distribuzzjonijiet ikomplu jibagħtu l-1.1.1. fergħa awtomatikament jew għad ma kellhomx ħin biex jibnu aġġornamenti tal-pakketti bil-verżjoni 3.0.4.
Sors: opennet.ru