Matoleo ya matengenezo ya maktaba ya kriptografia ya OpenSSL 3.0.2 na 1.1.1n yanapatikana. Sasisho hurekebisha uwezekano wa kuathiriwa (CVE-2022-0778) ambao unaweza kutumika kusababisha kunyimwa huduma (kipimo kisicho na kikomo cha kidhibiti). Ili kutumia mazingira magumu, inatosha kusindika cheti iliyoundwa mahsusi. Tatizo hutokea katika seva na maombi ya mteja ambayo yanaweza kuchakata vyeti vinavyotolewa na mtumiaji.
Tatizo husababishwa na hitilafu katika chaguo za kukokotoa za BN_mod_sqrt(), ambayo husababisha kitanzi wakati wa kukokotoa modulo ya mzizi wa mraba kitu kingine isipokuwa nambari kuu. Chaguo za kukokotoa hutumika wakati wa kuchanganua vyeti kwa funguo kulingana na mikunjo ya duaradufu. Uendeshaji unakuja ili kubadilisha vigezo vya mviringo visivyo sahihi kwenye cheti. Kwa sababu tatizo hutokea kabla ya sahihi ya dijitali ya cheti kuthibitishwa, shambulio hilo linaweza kufanywa na mtumiaji ambaye hajaidhinishwa ambaye anaweza kusababisha cheti cha mteja au seva kutumwa kwa programu zinazotumia OpenSSL.
Athari hiyo pia inaathiri maktaba ya LibreSSL iliyotengenezwa na mradi wa OpenBSD, marekebisho ambayo yalipendekezwa katika matoleo ya kusahihisha ya LibreSSL 3.3.6, 3.4.3 na 3.5.1. Zaidi ya hayo, uchanganuzi wa masharti ya kutumia uwezekano wa kuathiriwa umechapishwa (mfano wa cheti hasidi kinachosababisha kuganda bado hakijachapishwa hadharani).
Chanzo: opennet.ru