Siideynta dayactirka ee maktabadda cryptographic OpenSSL 3.0.2 iyo 1.1.1n ayaa diyaar ah. Cusboonaysiinta ayaa hagaajinaysa u nuglaanshaha (CVE-2022-0778) taas oo loo isticmaali karo in lagu sababo diidmada adeegga (xakameeyaha xad-dhaafka ah ee aan dhammaadka lahayn). Si looga faa'iidaysto nuglaanta, waa ku filan tahay in la farsameeyo shahaado si gaar ah loo qaabeeyey. Dhibaatadu waxay ku dhacdaa server-ka iyo codsiyada macmiilka labadaba kuwaas oo ka baaraandegi kara shahaadooyinka adeegsaduhu keeno.
Dhibaatada waxaa sababa cilad ku jirta shaqada BN_mod_sqrt(), taaso keenta in loop marka la xisaabinayo modulo xidid laba jibaaran wax aan ahayn nambarka koowaad. Hawsha waxa la adeegsadaa marka lagu kala saarayo shahaadooyinka furayaasha ku salaysan qalloocyada elliptical. Hawlgalku wuxuu hoos ugu dhacayaa beddelka cabbirrada qalooca ellipse ee khaldan ee shahaadada. Sababtoo ah dhibaatadu waxay dhacdaa ka hor intaan la xaqiijin saxeexa dhijitaalka ah ee shahaadada, weerarka waxaa fulin kara isticmaale aan la aqoonsan kaasoo sababi kara macmiilka ama shahaadada serverka in lagu gudbiyo codsiyada isticmaalaya OpenSSL.
Nuglaanta waxay sidoo kale saamaysaa maktabadda LibreSSL ee uu sameeyay mashruuca OpenBSD, hagaajinta kaas oo lagu soo jeediyay siidaynta sixitaanka ee LibreSSL 3.3.6, 3.4.3 iyo 3.5.1. Intaa waxaa dheer, falanqaynta shuruudaha ka faa'iidaysiga dayacanka ayaa la daabacay (tusaale shahaado xaasidnimo ah oo sababa qaboojin weli si guud looma soo bandhigin).
Source: opennet.ru