O se faʻasaʻoga faʻasaʻo o le OpenSSL cryptographic library 3.0.7 ua faʻasalalau, lea e faʻaleleia ai ni faʻafitauli se lua. O fa'afitauli uma e lua e mafua mai i le pa'u i totonu ole fa'ailoga fa'amaonia ole imeli ile X.509 tusipasi ma e mafai ona ta'ita'ia ai le fa'atinoina ole code pe a fa'agaioi se tusi fa'ailoga fa'apitoa. I le taimi o le lolomiina o le faʻatonuga, e leʻi faʻamauina e le au atinaʻe OpenSSL soʻo se faʻamaoniga o le i ai o se gaioiga galue e mafai ona oʻo atu ai i le faʻatinoina o le tulafono a le tagata osofaʻi.
E ui lava i le mea moni o le faʻasalalauga muamua o le faʻasalalauga fou na taʻua ai le i ai o se mataupu ogaoga, o le mea moni, i le faʻasalalauga faʻasalalau na faʻaitiitia ai le tulaga o le faʻalavelave i le tulaga o se tulaga lamatia, ae le o se faʻalavelave faʻalavelave. E tusa ai ma tulafono o loʻo faʻaaogaina i totonu o le poloketi, o le maualuga o le lamatiaga e faʻaitiitia pe a faʻaalia le faʻafitauli i faʻasalalauga faʻapitoa pe afai e maualalo le avanoa o le faʻaaogaina o le faʻafitauli i le faʻatinoga.
I lenei tulaga, na faʻaititia le maualuga o le mamafa ona o se auiliiliga auʻiliʻili o le faʻafitauli e le tele o faʻalapotopotoga na faʻamaonia ai o le mafai ona faʻatinoina le code i le taimi o le faʻaogaina na poloka e le faʻapipiʻiina o masini puipuia o loʻo faʻaaogaina i le tele o tulaga. E le gata i lea, o le faʻasologa o fesoʻotaʻiga o loʻo faʻaaogaina i nisi o faʻasalalauga Linux e maua ai le 4 bytes e alu ese mai tuaoi o loʻo faʻapipiʻiina i luga o le isi paʻu i luga o le faaputuga, lea e leʻi faʻaaogaina. Ae ui i lea, e mafai ona i ai ni faʻavae e mafai ona faʻaogaina e faʻatino ai le code.
Fa'afitauli ua iloa:
- CVE-2022-3602 - o se fa'aletonu, na mua'i fa'aalia e taua tele, e o'o atu ai i le 4-byte pa'u fa'afefe pe a siaki se fanua ma se tuatusi imeli fa'apitoa i totonu o le X.509 tusi pasi. I totonu o le TLS client, e mafai ona faʻaogaina le faʻafitauli pe a faʻafesoʻotaʻi i se server e pulea e le osofaʻiga. I luga o le TLS server, e mafai ona faʻaogaina le faʻafitauli pe a faʻaaogaina le faʻamaoniga a le tagata o tausia e faʻaaoga tusi faamaonia. I lenei tulaga, o le faʻafitauli e aliali mai i le tulaga pe a maeʻa le faʻamaonia o le filifili o le faʻalagolago e fesoʻotaʻi ma le tusi faamaonia, i.e. O le osofaʻiga e manaʻomia ai le faʻamaonia e le pule faʻamaonia le tusi faamaonia leaga a le tagata osofaia.
- CVE-2022-3786 o se isi vete mo le faʻaaogaina o le CVE-2022-3602 faʻafitauli, faʻaalia i le taimi o le auiliiliga o le faʻafitauli. O eseesega e faʻapupulaina i lalo i le avanoa e faʻafefe ai se paʻu i luga o le faʻaputuga e ala i se numera faʻapitoa o bytes o loʻo i ai le "." (o lona uiga e le mafai e le tagata osofaʻi ona pulea mea o loʻo i totonu o le lolovaia ma o le faʻafitauli e mafai ona faʻaaogaina e mafua ai ona paʻu le talosaga).
O fa'aletonu e na'o le lala o le OpenSSL 3.0.x e aliali mai (na fa'afeiloa'i le pusa i le Unicode conversion code (punycode) fa'aopoopo i le lala 3.0.x). O faʻasalalauga o OpenSSL 1.1.1, faʻapea foʻi ma OpenSSL fork libraries LibreSSL ma BoringSSL, e le afaina i le faʻafitauli. I le taimi lava e tasi, o le OpenSSL 1.1.1s faʻafouina na faʻasaʻolotoina, lea e aofia ai naʻo le faʻaogaina o pusa e le puipuia.
O le lala OpenSSL 3.0 e faʻaaogaina i tufatufaga e pei ole Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. O tagata faʻaoga o nei faiga e fautuaina e faʻapipiʻi faʻafouga i se taimi vave e mafai ai (Debian, Ubuntu, RHEL, SUSE / openSUSE, Fedora, Arch). I le SUSE Linux Enterprise 15 SP4 ma le openSUSE Leap 15.4, afifi ma OpenSSL 3.0 o loʻo avanoa faʻapitoa, faʻaoga faʻapipiʻi le lala 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 ma FreeBSD o loʻo tumau pea ile lala OpenSSL 3.16.x.
puna: opennet.ru