د OpenSSL کریپټوګرافیک کتابتون کې یو زیانمنونکي پیژندل شوي (CVE تراوسه نه دی ټاکل شوی) د کوم له لارې چې یو لیرې برید کونکی کولی شي د TLS اتصال رامینځته کولو په وخت کې د ځانګړي ډیزاین شوي معلوماتو لیږلو سره د پروسې حافظې مینځپانګې ته زیان ورسوي. دا لاهم روښانه نده چې ایا ستونزه د برید کونکي کوډ اجرا کولو او د پروسې حافظې څخه د معلوماتو لیک کیدو لامل کیدی شي ، یا ایا دا په حادثې پورې محدوده ده.
زیانمنتیا په OpenSSL 3.0.4 ریلیز کې ښکاري، چې د جون په 21 خپره شوې، او په کوډ کې د بګ لپاره د غلط فکس له امله رامینځته کیږي چې په پایله کې یې تر 8192 بایټ پورې ډیټا له تخصیص شوي بفر هاخوا لیکل یا لوستل کیدی شي. د زیانمننې ګټه پورته کول یوازې په x86_64 سیسټمونو کې د AVX512 لارښوونو ملاتړ سره امکان لري.
د OpenSSL فورکونه لکه بورینګ ایس ایس ایل او لیبر ایس ایس ایل، او همدارنګه د OpenSSL 1.1.1 څانګه، د ستونزې له امله نه اغیزمن کیږي. فکس اوس مهال یوازې د پیچ په توګه شتون لري. په بدترین حالت کې، ستونزه کیدای شي د Heartbleed د زیان مننې په پرتله خورا خطرناکه وي، مګر د ګواښ کچه د دې حقیقت له مخې کمه شوې چې زیانمنتیا یوازې د OpenSSL 3.0.4 خوشې کولو کې ښکاري، پداسې حال کې چې ډیری توزیع د 1.1.1 لیږلو ته دوام ورکوي. د ډیفالټ په واسطه څانګه یا لا تر اوسه د 3.0.4 نسخه سره د بسته تازه معلوماتو جوړولو لپاره وخت نه لري.
سرچینه: opennet.ru