OpenSSL క్రిప్టోగ్రాఫిక్ లైబ్రరీ 3.0.2 మరియు 1.1.1n నిర్వహణ విడుదలలు అందుబాటులో ఉన్నాయి. అప్డేట్ ఒక దుర్బలత్వాన్ని (CVE-2022-0778) పరిష్కరిస్తుంది, ఇది సేవ యొక్క తిరస్కరణకు (హ్యాండ్లర్ యొక్క అనంతమైన లూపింగ్) కారణమవుతుంది. దుర్బలత్వాన్ని ఉపయోగించుకోవడానికి, ప్రత్యేకంగా రూపొందించిన ప్రమాణపత్రాన్ని ప్రాసెస్ చేయడానికి సరిపోతుంది. వినియోగదారు అందించిన సర్టిఫికేట్లను ప్రాసెస్ చేయగల సర్వర్ మరియు క్లయింట్ అప్లికేషన్లలో సమస్య ఏర్పడుతుంది.
BN_mod_sqrt() ఫంక్షన్లోని బగ్ కారణంగా సమస్య ఏర్పడింది, ఇది వర్గమూలం మాడ్యులోను ప్రధాన సంఖ్య కాకుండా మరేదైనా లెక్కించేటప్పుడు లూప్కు దారి తీస్తుంది. ఎలిప్టిక్ కర్వ్ల ఆధారంగా కీలతో సర్టిఫికెట్లను అన్వయించేటప్పుడు ఫంక్షన్ ఉపయోగించబడుతుంది. సర్టిఫికేట్లో తప్పు ఎలిప్టిక్ కర్వ్ పారామితులను భర్తీ చేయడానికి ఆపరేషన్ వస్తుంది. సర్టిఫికేట్ యొక్క డిజిటల్ సంతకం ధృవీకరించబడక ముందే సమస్య ఏర్పడినందున, OpenSSLని ఉపయోగించి అప్లికేషన్లకు క్లయింట్ లేదా సర్వర్ సర్టిఫికేట్ను ప్రసారం చేయడానికి కారణమయ్యే ప్రమాణీకరించని వినియోగదారు ద్వారా దాడి చేయవచ్చు.
ఈ దుర్బలత్వం OpenBSD ప్రాజెక్ట్ ద్వారా అభివృద్ధి చేయబడిన LibreSSL లైబ్రరీని కూడా ప్రభావితం చేస్తుంది, దీని కోసం LibreSSL 3.3.6, 3.4.3 మరియు 3.5.1 యొక్క దిద్దుబాటు విడుదలలలో ప్రతిపాదించబడింది. అదనంగా, దుర్బలత్వాన్ని ఉపయోగించుకునే పరిస్థితుల యొక్క విశ్లేషణ ప్రచురించబడింది (గడ్డకట్టడానికి కారణమయ్యే హానికరమైన సర్టిఫికేట్ యొక్క ఉదాహరణ ఇంకా పబ్లిక్గా పోస్ట్ చేయబడలేదు).
మూలం: opennet.ru