W bibliotece kryptograficznej OpenSSL zidentyfikowano lukę (nie przypisano jeszcze CVE), za pomocą której osoba atakująca zdalnie może uszkodzić zawartość pamięci procesowej wysyłając specjalnie zaprojektowane dane w momencie nawiązania połączenia TLS. Nie jest jeszcze jasne, czy problem może doprowadzić do wykonania kodu przez osobę atakującą i wycieku danych z pamięci procesu, czy też ogranicza się do awarii.
Luka pojawia się w wersji OpenSSL 3.0.4 opublikowanej 21 czerwca i jest spowodowana niepoprawną poprawką błędu w kodzie, który może skutkować nadpisaniem lub odczytaniem do 8192 bajtów danych poza przydzielonym buforem. Wykorzystanie luki jest możliwe wyłącznie na systemach x86_64 obsługujących instrukcje AVX512.
Problem nie dotyczy forków OpenSSL, takich jak BoringSSL i LibreSSL, a także gałęzi OpenSSL 1.1.1. Poprawka jest obecnie dostępna wyłącznie w formie łatki. W najgorszym przypadku problem może być bardziej niebezpieczny niż luka Heartbleed, ale poziom zagrożenia zmniejsza fakt, że luka pojawia się tylko w wersji OpenSSL 3.0.4, podczas gdy wiele dystrybucji nadal dostarcza wersję 1.1.1 gałęzi domyślnie lub nie miałem jeszcze czasu na zbudowanie aktualizacji pakietów w wersji 3.0.4.
Źródło: opennet.ru