OpenSSL လျှို့ဝှက်စာဝှက်စာကြည့်တိုက်တွင် အားနည်းချက်တစ်ခုအား ဖော်ထုတ်တွေ့ရှိခဲ့သည် (CVE မသတ်မှတ်ရသေးပါ)၊ ၎င်းအကူအညီဖြင့် အဝေးမှတိုက်ခိုက်သူသည် TLS ချိတ်ဆက်မှုတည်ဆောက်ချိန်တွင် အထူးဒီဇိုင်းထုတ်ထားသောဒေတာပေးပို့ခြင်းဖြင့် လုပ်ငန်းစဉ်မှတ်ဉာဏ်၏အကြောင်းအရာများကို ပျက်စီးစေနိုင်သည်။ ပြဿနာက တိုက်ခိုက်သူ ကုဒ်ကို အကောင်အထည်ဖော်ခြင်းနှင့် လုပ်ငန်းစဉ်မှတ်ဉာဏ်မှ ဒေတာများ ယိုစိမ့်ခြင်းသို့ ဦးတည်စေခြင်း ရှိ၊မရှိ၊ သို့မဟုတ် ပျက်စီးမှုတစ်ခုအတွက် ကန့်သတ်ထားခြင်း ရှိ၊မရှိ ရှင်းရှင်းလင်းလင်း မသိရသေးပါ။
အားနည်းချက်သည် ဇွန်လ 3.0.4 ရက်နေ့တွင်ထုတ်ဝေသော OpenSSL 21 ထုတ်ဝေမှုတွင် ပေါ်လာပြီး ဒေတာ 8192 bytes အထိ အစားထိုးရေးသားခြင်း သို့မဟုတ် ခွဲဝေချထားပေးသည့်ကြားခံထက်ကျော်လွန်၍ ဖတ်နိုင်သော ကုဒ်တွင် ချွတ်ယွင်းချက်တစ်ခုအတွက် မှားယွင်းသောပြင်ဆင်မှုကြောင့် ဖြစ်ပေါ်လာခြင်းဖြစ်သည်။ AVX86 ညွှန်ကြားချက်များအတွက် ပံ့ပိုးမှုဖြင့် x64_512 စနစ်များတွင်သာ အားနည်းချက်ကို အသုံးချနိုင်သည်။
BoringSSL နှင့် LibreSSL ကဲ့သို့သော OpenSSL ၏ Forks များအပြင် OpenSSL 1.1.1 ဌာနခွဲများသည် ပြဿနာကြောင့် ထိခိုက်ခြင်းမရှိပါ။ ပြုပြင်မှုကို လောလောဆယ်တွင် ဖာထေးမှုတစ်ခုအဖြစ်သာ ရရှိနိုင်သည်။ အဆိုးဆုံးအခြေအနေတွင်၊ ပြဿနာသည် Heartbleed အားနည်းချက်ထက် ပိုအန္တရာယ်များနိုင်သော်လည်း OpenSSL 3.0.4 ထုတ်ဝေမှုတွင်သာ အားနည်းချက်ပေါ်လာပြီး ဖြန့်ဝေမှုအများအပြားသည် 1.1.1 ကို ဆက်လက်တင်ပို့နေချိန်တွင် ခြိမ်းခြောက်မှုအဆင့်ကို လျှော့ချထားသည်။ ဌာနခွဲသည် မူရင်းအတိုင်း သို့မဟုတ် ဗားရှင်း 3.0.4 ဖြင့် ပက်ကေ့ခ်ျအပ်ဒိတ်များကို တည်ဆောက်ရန် အချိန်မရသေးပါ။
source: opennet.ru