OpenSSL கிரிப்டோகிராஃபிக் லைப்ரரியில் ஒரு பாதிப்பு கண்டறியப்பட்டுள்ளது (CVE இன்னும் ஒதுக்கப்படவில்லை), இதன் உதவியுடன் தொலைநிலை தாக்குபவர் TLS இணைப்பை நிறுவும் நேரத்தில் சிறப்பாக வடிவமைக்கப்பட்ட தரவை அனுப்புவதன் மூலம் செயல்முறை நினைவகத்தின் உள்ளடக்கங்களை சேதப்படுத்தலாம். இந்தச் சிக்கல் தாக்குபவர் குறியீடு செயல்படுத்துதலுக்கும், செயல்முறை நினைவகத்திலிருந்து தரவு கசிவுக்கும் வழிவகுக்குமா அல்லது அது செயலிழப்பிற்கு மட்டுப்படுத்தப்பட்டதா என்பது இன்னும் தெளிவாகத் தெரியவில்லை.
ஜூன் 3.0.4 அன்று வெளியிடப்பட்ட OpenSSL 21 வெளியீட்டில் இந்த பாதிப்பு தோன்றுகிறது, மேலும் குறியீட்டில் உள்ள பிழையின் தவறான திருத்தம் காரணமாக 8192 பைட்டுகள் வரை தரவு மேலெழுதப்படலாம் அல்லது ஒதுக்கப்பட்ட இடையகத்திற்கு அப்பால் படிக்கலாம். ஏவிஎக்ஸ் 86 வழிமுறைகளுக்கான ஆதரவுடன் x64_512 சிஸ்டங்களில் மட்டுமே பாதிப்பைப் பயன்படுத்த முடியும்.
BoringSSL மற்றும் LibreSSL போன்ற OpenSSL இன் ஃபோர்க்குகளும், OpenSSL 1.1.1 கிளையும் சிக்கலால் பாதிக்கப்படவில்லை. பிழைத்திருத்தம் தற்போது ஒரு பேட்சாக மட்டுமே கிடைக்கிறது. ஒரு மோசமான சூழ்நிலையில், ஹார்ட்பிளீட் பாதிப்பை விட சிக்கல் மிகவும் ஆபத்தானதாக இருக்கலாம், ஆனால் பாதிப்பு OpenSSL 3.0.4 வெளியீட்டில் மட்டுமே தோன்றுவதால் அச்சுறுத்தல் நிலை குறைக்கப்படுகிறது, அதே நேரத்தில் பல விநியோகங்கள் 1.1.1 ஐ தொடர்ந்து அனுப்புகின்றன. முன்னிருப்பாக கிளை அல்லது பதிப்பு 3.0.4 உடன் தொகுப்பு புதுப்பிப்புகளை உருவாக்க இன்னும் நேரம் கிடைக்கவில்லை.
ஆதாரம்: opennet.ru