Na voljo sta vzdrževalni izdaji kriptografske knjižnice OpenSSL 3.0.2 in 1.1.1n. Posodobitev odpravlja ranljivost (CVE-2022-0778), ki jo je mogoče uporabiti za povzročitev zavrnitve storitve (neskončna zanka obdelovalca). Za izkoriščanje ranljivosti je dovolj obdelava posebej oblikovanega certifikata. Težava se pojavlja v strežniških in odjemalskih aplikacijah, ki lahko obdelujejo potrdila, ki jih predloži uporabnik.
Težavo povzroča napaka v funkciji BN_mod_sqrt(), ki vodi do zanke pri izračunu kvadratnega korena po modulu nečesa drugega kot praštevila. Funkcija se uporablja pri razčlenjevanju potrdil s ključi na podlagi eliptičnih krivulj. Delovanje se zmanjša na zamenjavo napačnih parametrov eliptične krivulje v potrdilu. Ker se težava pojavi, preden je digitalni podpis potrdila preverjen, bi lahko napad izvedel nepreverjen uporabnik, ki bi lahko povzročil prenos potrdila odjemalca ali strežnika aplikacijam, ki uporabljajo OpenSSL.
Ranljivost vpliva tudi na knjižnico LibreSSL, ki jo je razvil projekt OpenBSD, popravek za katerega je bil predlagan v popravnih izdajah LibreSSL 3.3.6, 3.4.3 in 3.5.1. Dodatno je objavljena analiza pogojev za izkoriščanje ranljivosti (primer zlonamernega certifikata, ki povzroči zamrznitev, še ni bil javno objavljen).
Vir: opennet.ru