May natukoy na kahinaan sa OpenSSL cryptographic library (hindi pa naitalaga ang CVE), sa tulong kung saan ang isang malayuang umaatake ay maaaring makapinsala sa mga nilalaman ng memorya ng proseso sa pamamagitan ng pagpapadala ng espesyal na idinisenyong data sa oras ng pagtatatag ng koneksyon sa TLS. Hindi pa malinaw kung ang problema ay maaaring humantong sa pagpapatupad ng code ng attacker at pagtagas ng data mula sa memorya ng proseso, o kung limitado ito sa isang pag-crash.
Ang kahinaan ay lumalabas sa OpenSSL 3.0.4 na release, na na-publish noong Hunyo 21, at sanhi ng hindi tamang pag-aayos para sa isang bug sa code na maaaring magresulta sa hanggang 8192 byte ng data na ma-overwrite o mabasa nang lampas sa inilaan na buffer. Ang pagsasamantala sa kahinaan ay posible lamang sa mga x86_64 system na may suporta para sa mga tagubilin ng AVX512.
Ang mga tinidor ng OpenSSL tulad ng BoringSSL at LibreSSL, pati na rin ang OpenSSL 1.1.1 branch, ay hindi apektado ng problema. Ang pag-aayos ay kasalukuyang magagamit lamang bilang isang patch. Sa pinakamasamang sitwasyon, ang problema ay maaaring mas mapanganib kaysa sa kahinaan ng Heartbleed, ngunit ang antas ng banta ay nababawasan ng katotohanan na ang kahinaan ay lumalabas lamang sa OpenSSL 3.0.4 release, habang maraming mga pamamahagi ang patuloy na nagpapadala ng 1.1.1 branch bilang default o wala pang oras upang bumuo ng mga update sa package na may bersyon 3.0.4.
Pinagmulan: opennet.ru