Matoleo ya kubandika ya maktaba ya kriptografia ya OpenSSL 3.0.2 na 1.1.1n sasa yanapatikana. Sasisho hurekebisha athari (CVE-2022-0778) inayoweza kutumiwa kusababisha kunyimwa huduma (kitanzi kisicho na kikomo cha kidhibiti). Utumiaji wa athari huhitaji tu kulazimisha cheti kilichoundwa mahususi kuchakatwa. Suala hili linaathiri programu za seva na mteja ambazo zinaweza kuchakata vyeti vilivyotolewa na mtumiaji.
Suala hilo linasababishwa na hitilafu katika chaguo za kukokotoa za BN_mod_sqrt(), ambayo husababisha kitanzi wakati wa kukokotoa mzizi wa mraba wa moduli isiyo ya msingi. Chaguo hili la kukokotoa hutumika kuchanganua vyeti kwa vitufe vya mviringo vya mviringo. Unyonyaji unahusisha kubadilisha vigezo batili vya curve ya duaradufu kwenye cheti. Kwa kuwa suala hilo linajidhihirisha kabla ya sahihi ya dijitali ya cheti kuthibitishwa, shambulio hilo linaweza kutekelezwa na mtumiaji ambaye hajaidhinishwa ambaye anaweza kulazimisha uhamishaji wa cheti cha mteja au seva kwa programu kwa kutumia OpenSSL.
Athari hiyo pia inaathiri maktaba ya LibreSSL iliyotengenezwa na mradi wa OpenBSD, ambao marekebisho yake yamependekezwa katika matoleo ya viraka vya LibreSSL 3.3.6, 3.4.3 na 3.5.1. Uchanganuzi wa masharti ya kutumia uwezekano wa kuathiriwa pia umechapishwa (mfano wa cheti hasidi kinachosababisha kunyongwa bado hakijawekwa wazi).
Chanzo: opennet.ru
