Kerentanan parantos diidentifikasi dina perpustakaan kriptografi OpenSSL (CVE henteu acan ditugaskeun), kalayan bantosan panyerang jauh tiasa ngaruksak eusi mémori prosés ku ngirim data anu dirarancang khusus dina waktos ngadamel sambungan TLS. Henteu acan écés naha masalahna tiasa nyababkeun palaksanaan kode panyerang sareng bocor data tina mémori prosés, atanapi naha dugi ka kacilakaan.
Kerentanan némbongan dina release OpenSSL 3.0.4, diterbitkeun dina 21 Juni, sarta disababkeun ku fix lepat pikeun bug dina kode nu bisa ngakibatkeun nepi ka 8192 bait data keur overwritten atawa maca saluareun panyangga disadiakeun. Eksploitasi kerentanan ngan mungkin dina sistem x86_64 kalayan dukungan pikeun petunjuk AVX512.
Forks of OpenSSL kayaning BoringSSL na LibreSSL, kitu ogé cabang OpenSSL 1.1.1, teu kapangaruhan ku masalah. Perbaikan ayeuna ngan ukur sayogi salaku patch. Dina skenario anu paling parah, masalahna tiasa langkung bahaya tibatan kerentanan Heartbleed, tapi tingkat anceman dikirangan ku kanyataan yén kerentanan ngan ukur muncul dina pelepasan OpenSSL 3.0.4, sedengkeun seueur distribusi terus ngirimkeun 1.1.1. cabang sacara standar atanapi teu acan gaduh waktos ngawangun apdet pakét sareng versi 3.0.4.
sumber: opennet.ru