OpenSSL கிரிப்டோகிராஃபிக் லைப்ரரி 3.0.2 மற்றும் 1.1.1n இன் பராமரிப்பு வெளியீடுகள் உள்ளன. புதுப்பிப்பு ஒரு பாதிப்பை சரிசெய்கிறது (CVE-2022-0778), இது சேவை மறுப்பை ஏற்படுத்த பயன்படுகிறது (ஹேண்ட்லரின் எல்லையற்ற லூப்பிங்). பாதிப்பைப் பயன்படுத்த, சிறப்பாக வடிவமைக்கப்பட்ட சான்றிதழைச் செயல்படுத்தினால் போதும். பயனர் வழங்கிய சான்றிதழ்களைச் செயலாக்கக்கூடிய சர்வர் மற்றும் கிளையன்ட் பயன்பாடுகள் இரண்டிலும் சிக்கல் ஏற்படுகிறது.
BN_mod_sqrt() செயல்பாட்டில் உள்ள பிழையால் இந்தச் சிக்கல் ஏற்படுகிறது, இது பகா எண்ணைத் தவிர வேறு ஏதாவது ஒரு வர்க்க மூல மாடுலோவைக் கணக்கிடும் போது ஒரு வளையத்திற்கு வழிவகுக்கிறது. நீள்வட்ட வளைவுகளின் அடிப்படையில் விசைகளுடன் சான்றிதழ்களை பாகுபடுத்தும் போது செயல்பாடு பயன்படுத்தப்படுகிறது. சான்றிதழில் தவறான நீள்வட்ட வளைவு அளவுருக்களை மாற்றியமைக்க நடவடிக்கை வருகிறது. சான்றிதழின் டிஜிட்டல் கையொப்பம் சரிபார்க்கப்படுவதற்கு முன்பு சிக்கல் ஏற்படுவதால், OpenSSL ஐப் பயன்படுத்தி பயன்பாடுகளுக்கு கிளையன்ட் அல்லது சர்வர் சான்றிதழை அனுப்பக்கூடிய அங்கீகரிக்கப்படாத பயனரால் தாக்குதல் நடத்தப்படலாம்.
இந்த பாதிப்பு OpenBSD திட்டத்தால் உருவாக்கப்பட்ட LibreSSL நூலகத்தையும் பாதிக்கிறது, இது LibreSSL 3.3.6, 3.4.3 மற்றும் 3.5.1 இன் திருத்த வெளியீடுகளில் முன்மொழியப்பட்டது. கூடுதலாக, பாதிப்பைச் சுரண்டுவதற்கான நிபந்தனைகளின் பகுப்பாய்வு வெளியிடப்பட்டது (உறைநிலையை ஏற்படுத்தும் தீங்கிழைக்கும் சான்றிதழின் எடுத்துக்காட்டு இன்னும் பகிரங்கமாக இடுகையிடப்படவில்லை).
ஆதாரம்: opennet.ru