Available ang maintenance release ng OpenSSL cryptographic library 3.0.2 at 1.1.1n. Ang pag-update ay nag-aayos ng isang kahinaan (CVE-2022-0778) na maaaring magamit upang maging sanhi ng pagtanggi sa serbisyo (walang katapusan na pag-loop ng handler). Upang pagsamantalahan ang kahinaan, sapat na upang iproseso ang isang espesyal na idinisenyong sertipiko. Ang problema ay nangyayari sa parehong server at client application na maaaring magproseso ng mga certificate na ibinigay ng user.
Ang problema ay sanhi ng isang bug sa BN_mod_sqrt() function, na humahantong sa isang loop kapag kinakalkula ang isang square root modulo isang bagay maliban sa isang prime number. Ginagamit ang function kapag nag-parse ng mga certificate gamit ang mga key batay sa mga elliptic curve. Ang operasyon ay bumababa sa pagpapalit ng maling mga parameter ng elliptic curve sa certificate. Dahil nangyayari ang problema bago ma-verify ang digital signature ng certificate, ang pag-atake ay maaaring isagawa ng isang hindi napatotohanang user na maaaring maging sanhi ng paglilipat ng certificate ng client o server sa mga application gamit ang OpenSSL.
Ang kahinaan ay nakakaapekto rin sa LibreSSL library na binuo ng proyekto ng OpenBSD, isang pag-aayos na iminungkahi sa mga corrective release ng LibreSSL 3.3.6, 3.4.3 at 3.5.1. Bukod pa rito, ang pagsusuri ng mga kundisyon para sa pagsasamantala sa kahinaan ay nai-publish na (isang halimbawa ng isang malisyosong sertipiko na nagdudulot ng pagyeyelo ay hindi pa nai-post sa publiko).
Pinagmulan: opennet.ru