Një dobësi është identifikuar në bibliotekën kriptografike OpenSSL (CVE ende nuk është caktuar), me ndihmën e së cilës një sulmues i largët mund të dëmtojë përmbajtjen e kujtesës së procesit duke dërguar të dhëna të dizajnuara posaçërisht në kohën e krijimit të një lidhjeje TLS. Nuk është ende e qartë nëse problemi mund të çojë në ekzekutimin e kodit të sulmuesit dhe rrjedhjen e të dhënave nga memoria e procesit, apo nëse është i kufizuar në një përplasje.
Dobësia shfaqet në versionin OpenSSL 3.0.4, botuar më 21 qershor, dhe shkaktohet nga një rregullim i gabuar për një gabim në kod që mund të rezultojë në mbishkrimin ose leximin e deri në 8192 bajt të të dhënave përtej buferit të caktuar. Shfrytëzimi i cenueshmërisë është i mundur vetëm në sistemet x86_64 me mbështetje për udhëzimet AVX512.
Forcat e OpenSSL si BoringSSL dhe LibreSSL, si dhe dega OpenSSL 1.1.1, nuk preken nga problemi. Rregullimi është aktualisht i disponueshëm vetëm si një patch. Në një skenar të rastit më të keq, problemi mund të jetë më i rrezikshëm se cenueshmëria e Heartbleed, por niveli i kërcënimit zvogëlohet nga fakti se cenueshmëria shfaqet vetëm në versionin OpenSSL 3.0.4, ndërsa shumë shpërndarje vazhdojnë të dërgojnë 1.1.1. degë si parazgjedhje ose nuk keni pasur ende kohë për të ndërtuar përditësime të paketave me versionin 3.0.4.
Burimi: opennet.ru