Athari imetambuliwa katika maktaba ya kriptografia ya OpenSSL (CVE bado haijakabidhiwa), kwa usaidizi ambao mvamizi wa mbali anaweza kuharibu yaliyomo kwenye kumbukumbu ya mchakato kwa kutuma data iliyoundwa maalum wakati wa kuanzisha muunganisho wa TLS. Bado haijabainika ikiwa tatizo linaweza kusababisha utekelezaji wa msimbo wa mvamizi na kuvuja kwa data kutoka kwa kumbukumbu ya mchakato, au ikiwa ni tu kuacha kufanya kazi.
Athari hii inaonekana katika toleo la OpenSSL 3.0.4, lililochapishwa tarehe 21 Juni, na husababishwa na urekebishaji usio sahihi wa hitilafu katika msimbo ambayo inaweza kusababisha hadi baiti 8192 za data kufutwa au kusomwa zaidi ya bafa iliyotengwa. Utumiaji wa athari unawezekana tu kwenye mifumo ya x86_64 yenye usaidizi wa maagizo ya AVX512.
Uma za OpenSSL kama vile BoringSSL na LibreSSL, pamoja na tawi la OpenSSL 1.1.1, haziathiriwi na tatizo. Marekebisho kwa sasa yanapatikana tu kama kiraka. Katika hali mbaya zaidi, tatizo linaweza kuwa hatari zaidi kuliko hatari ya Heartbleed, lakini kiwango cha tishio kinapunguzwa na ukweli kwamba hatari hiyo inaonekana tu katika toleo la OpenSSL 3.0.4, wakati usambazaji mwingi unaendelea kusafirisha 1.1.1 tawi kwa chaguo-msingi au bado hawajapata wakati wa kuunda sasisho za kifurushi na toleo la 3.0.4.
Chanzo: opennet.ru