OpenSSL လျှို့ဝှက်စာဝှက်စာကြည့်တိုက် 3.0.2 နှင့် 1.1.1n တို့ကို ပြုပြင်ထိန်းသိမ်းမှု ထုတ်ဝေမှုများ ရရှိနိုင်ပါသည်။ အပ်ဒိတ်သည် ဝန်ဆောင်မှုကို ငြင်းပယ်ခြင်း (ကိုင်တွယ်သူ၏ အဆုံးမရှိ လှည့်ပတ်ခြင်း) ကိုဖြစ်စေရန်အတွက် အသုံးပြုနိုင်သည့် အားနည်းချက် (CVE-2022-0778) ကို ပြင်ဆင်ပေးသည်။ အားနည်းချက်ကို အသုံးချရန်၊ အထူးဒီဇိုင်းထုတ်ထားသော လက်မှတ်ကို လုပ်ဆောင်ရန် လုံလောက်ပါသည်။ ပြဿနာသည် သုံးစွဲသူမှပေးသော လက်မှတ်များကို လုပ်ဆောင်နိုင်သော ဆာဗာနှင့် ကလိုင်းယင့်အပလီကေးရှင်းနှစ်ခုလုံးတွင် ဖြစ်ပွားပါသည်။
ပြဿနာသည် BN_mod_sqrt() လုပ်ဆောင်ချက်ရှိ ချို့ယွင်းချက်တစ်ခုကြောင့် ဖြစ်ရခြင်းဖြစ်ပြီး၊ ၎င်းသည် နံပါတ်တစ်စတုရန်းကိန်းတစ်ခုမှလွဲ၍ အခြားအရာတစ်ခုခုကို တွက်ချက်သည့်အခါ loop တစ်ခုသို့ ဦးတည်သွားစေသည်။ elliptic မျဉ်းကွေးများကို အခြေခံ၍ လက်မှတ်များကို သော့များဖြင့် ခွဲခြမ်းစိပ်ဖြာသည့်အခါ လုပ်ဆောင်ချက်ကို အသုံးပြုသည်။ လုပ်ဆောင်ချက်သည် လက်မှတ်တွင် မမှန်ကန်သော elliptic curve parameters များကို အစားထိုးခြင်းဖြစ်သည်။ လက်မှတ်၏ ဒစ်ဂျစ်တယ် လက်မှတ်ကို မစစ်ဆေးမီ ပြဿနာ ဖြစ်ပေါ်လာသောကြောင့်၊ OpenSSL ကို အသုံးပြု၍ အပလီကေးရှင်းများသို့ ဖောက်သည် သို့မဟုတ် ဆာဗာ လက်မှတ်ကို ပေးပို့နိုင်စေရန် အထောက်အထား မခိုင်လုံသော အသုံးပြုသူတစ်ဦးမှ တိုက်ခိုက်ခြင်း ဖြစ်နိုင်သည်။
အားနည်းချက်သည် OpenBSD ပရောဂျက်မှ ဖန်တီးထားသော LibreSSL စာကြည့်တိုက်ကိုလည်း သက်ရောက်မှုရှိပြီး LibreSSL 3.3.6၊ 3.4.3 နှင့် 3.5.1 ၏ မှန်ကန်သောထွက်ရှိမှုများတွင် အဆိုပြုထားသည့် ပြုပြင်မှုတစ်ခုလည်း ဖြစ်သည်။ ထို့အပြင်၊ အားနည်းချက်ကို အသုံးချခြင်းအတွက် အခြေအနေများဆိုင်ရာ ခွဲခြမ်းစိတ်ဖြာချက်ကို ထုတ်ဝေခဲ့သည် (အေးခဲခြင်းကို ဖြစ်စေသော အန္တရာယ်ရှိသော လက်မှတ်၏ ဥပမာကို လူသိရှင်ကြား မတင်ရသေးပါ)။
source: opennet.ru