Janë të disponueshme publikimet e mirëmbajtjes të bibliotekës kriptografike OpenSSL 3.0.2 dhe 1.1.1n. Përditësimi rregullon një dobësi (CVE-2022-0778) që mund të përdoret për të shkaktuar mohim të shërbimit (lidhja e pafundme e mbajtësit). Për të shfrytëzuar cenueshmërinë, mjafton të përpunohet një certifikatë e krijuar posaçërisht. Problemi shfaqet si në server ashtu edhe në aplikacionet e klientit që mund të përpunojnë certifikatat e ofruara nga përdoruesi.
Problemi shkaktohet nga një gabim në funksionin BN_mod_sqrt(), i cili çon në një lak kur llogaritet një modul i rrënjës katrore diçka tjetër përveç një numri të thjeshtë. Funksioni përdoret kur analizohen certifikatat me çelësa të bazuar në kthesa eliptike. Operacioni zbret në zëvendësimin e parametrave të pasaktë të kurbës eliptike në certifikatë. Për shkak se problemi ndodh përpara se të verifikohet nënshkrimi dixhital i certifikatës, sulmi mund të kryhet nga një përdorues i paautentikuar, i cili mund të shkaktojë transmetimin e një certifikate klienti ose serveri te aplikacionet që përdorin OpenSSL.
Dobësia prek gjithashtu bibliotekën LibreSSL të zhvilluar nga projekti OpenBSD, një rregullim për të cilin u propozua në versionet korrigjuese të LibreSSL 3.3.6, 3.4.3 dhe 3.5.1. Për më tepër, është publikuar një analizë e kushteve për shfrytëzimin e cenueshmërisë (një shembull i një certifikate me qëllim të keq që shkakton ngrirje nuk është postuar ende publikisht).
Burimi: opennet.ru