OpenSSL క్రిప్టోగ్రాఫిక్ లైబ్రరీలో ఒక దుర్బలత్వం గుర్తించబడింది (CVE ఇంకా కేటాయించబడలేదు), దీని సహాయంతో రిమోట్ అటాకర్ TLS కనెక్షన్ని ఏర్పాటు చేసే సమయంలో ప్రత్యేకంగా రూపొందించిన డేటాను పంపడం ద్వారా ప్రాసెస్ మెమరీలోని కంటెంట్లను పాడు చేయవచ్చు. సమస్య అటాకర్ కోడ్ ఎగ్జిక్యూషన్ మరియు ప్రాసెస్ మెమరీ నుండి డేటా లీకేజీకి దారితీస్తుందా లేదా అది క్రాష్కి పరిమితం చేయబడిందా అనేది ఇంకా స్పష్టంగా తెలియలేదు.
జూన్ 3.0.4న ప్రచురించబడిన OpenSSL 21 విడుదలలో ఈ దుర్బలత్వం కనిపిస్తుంది మరియు కోడ్లోని బగ్ను సరిదిద్దకపోవడం వల్ల 8192 బైట్ల వరకు డేటా భర్తీ చేయబడవచ్చు లేదా కేటాయించిన బఫర్కు మించి చదవవచ్చు. AVX86 సూచనలకు మద్దతు ఉన్న x64_512 సిస్టమ్లలో మాత్రమే దుర్బలత్వం యొక్క దోపిడీ సాధ్యమవుతుంది.
BoringSSL మరియు LibreSSL వంటి OpenSSL ఫోర్క్లు, అలాగే OpenSSL 1.1.1 బ్రాంచ్, సమస్య ద్వారా ప్రభావితం కావు. పరిష్కారం ప్రస్తుతం ప్యాచ్గా మాత్రమే అందుబాటులో ఉంది. అధ్వాన్నమైన దృష్టాంతంలో, సమస్య హార్ట్బ్లీడ్ దుర్బలత్వం కంటే చాలా ప్రమాదకరం కావచ్చు, అయితే ఓపెన్ఎస్ఎస్ఎల్ 3.0.4 విడుదలలో మాత్రమే దుర్బలత్వం కనిపించడం వల్ల ముప్పు స్థాయి తగ్గింది, అయితే అనేక పంపిణీలు 1.1.1ని రవాణా చేయడం కొనసాగించాయి. డిఫాల్ట్గా శాఖ లేదా వెర్షన్ 3.0.4తో ప్యాకేజీ నవీకరణలను రూపొందించడానికి ఇంకా సమయం లేదు.
మూలం: opennet.ru