Дар китобхонаи криптографии OpenSSL осебпазирӣ муайян карда шудааст (CVE ҳанӯз таъин нашудааст), ки бо ёрии он ҳамлагари дурдаст метавонад ҳангоми ирсоли маълумоти махсус тарҳрезишуда ҳангоми таъсиси пайвасти TLS ба мундариҷаи хотираи раванд зарар расонад. Ҳанӯз маълум нест, ки оё мушкилот метавонад ба иҷроиши коди ҳамлакунанда ва ихроҷи маълумот аз хотираи раванд оварда расонад ё он бо садама маҳдуд аст.
Ин осебпазирӣ дар нашри OpenSSL 3.0.4, ки 21 июн нашр шудааст, пайдо мешавад ва дар натиҷаи ислоҳи нодурусти хато дар код ба вуҷуд омадааст, ки метавонад то 8192 байт маълумот дубора навишта шавад ё берун аз буфери ҷудошуда хонда шавад. Истифодаи осебпазирӣ танҳо дар системаҳои x86_64 бо дастгирии дастурҳои AVX512 имконпазир аст.
Фарқҳои OpenSSL ба монанди BoringSSL ва LibreSSL, инчунин филиали OpenSSL 1.1.1 аз мушкилот таъсир намерасонанд. Ислоҳ дар айни замон танҳо ҳамчун часпак дастрас аст. Дар сенарияи бадтарин, мушкилот метавонад аз осебпазирии Heartbleed хатарноктар бошад, аммо сатҳи таҳдид аз он сабаб коҳиш меёбад, ки осебпазирӣ танҳо дар версияи OpenSSL 3.0.4 пайдо мешавад, дар ҳоле ки бисёре аз дистрибюторҳо интиқоли 1.1.1-ро идома медиҳанд. филиал бо нобаёнӣ ё барои сохтани навсозиҳои баста бо версияи 3.0.4 ҳанӯз вақт надошта бошед.
Манбаъ: opennet.ru