K dispozícii sú verzie údržby kryptografickej knižnice OpenSSL 3.0.2 a 1.1.1n. Aktualizácia opravuje chybu zabezpečenia (CVE-2022-0778), ktorá môže spôsobiť odmietnutie služby (nekonečné zacyklenie obsluhy). Na zneužitie zraniteľnosti stačí spracovať špeciálne navrhnutý certifikát. Problém sa vyskytuje v serverových aj klientskych aplikáciách, ktoré dokážu spracovať certifikáty dodané používateľom.
Problém je spôsobený chybou vo funkcii BN_mod_sqrt(), ktorá vedie k slučke pri výpočte druhej odmocniny modulo niečo iné ako prvočíslo. Funkcia sa používa pri analýze certifikátov s kľúčmi založenými na eliptických krivkách. Operácia spočíva v nahradení nesprávnych parametrov eliptickej krivky do certifikátu. Keďže problém nastáva pred overením digitálneho podpisu certifikátu, útok by mohol vykonať neoverený používateľ, ktorý by mohol spôsobiť prenos certifikátu klienta alebo servera do aplikácií pomocou OpenSSL.
Zraniteľnosť ovplyvňuje aj knižnicu LibreSSL vyvinutú projektom OpenBSD, ktorej oprava bola navrhnutá v opravných vydaniach LibreSSL 3.3.6, 3.4.3 a 3.5.1. Okrem toho bola zverejnená analýza podmienok pre zneužitie zraniteľnosti (príklad škodlivého certifikátu, ktorý spôsobuje zmrazenie, ešte nebol zverejnený).
Zdroj: opennet.ru