اوپن ایس ایس ایل کرپٹوگرافک لائبریری میں ایک کمزوری کی نشاندہی کی گئی ہے (سی وی ای کو ابھی تک تفویض نہیں کیا گیا ہے)، جس کی مدد سے ایک ریموٹ حملہ آور TLS کنکشن قائم کرنے کے وقت خصوصی طور پر ڈیزائن کردہ ڈیٹا بھیج کر پروسیس میموری کے مواد کو نقصان پہنچا سکتا ہے۔ یہ ابھی تک واضح نہیں ہے کہ آیا یہ مسئلہ حملہ آور کوڈ پر عمل درآمد اور پروسیس میموری سے ڈیٹا لیک ہونے کا باعث بن سکتا ہے، یا یہ صرف کریش تک محدود ہے۔
یہ خطرہ 3.0.4 جون کو شائع ہونے والی OpenSSL 21 ریلیز میں ظاہر ہوتا ہے، اور اس کی وجہ کوڈ میں ایک بگ کے لیے غلط فکس ہے جس کے نتیجے میں 8192 بائٹس تک ڈیٹا کو اوور رائٹ کیا جا سکتا ہے یا مختص کردہ بفر سے باہر پڑھا جا سکتا ہے۔ کمزوری کا استحصال صرف x86_64 سسٹمز پر ہی ممکن ہے جس میں AVX512 ہدایات کی حمایت ہو۔
OpenSSL کے فورکس جیسے BoringSSL اور LibreSSL کے ساتھ ساتھ OpenSSL 1.1.1 برانچ بھی اس مسئلے سے متاثر نہیں ہوتے ہیں۔ فکس فی الحال صرف ایک پیچ کے طور پر دستیاب ہے۔ ایک بدترین صورت حال میں، مسئلہ ہارٹ بلیڈ کے خطرے سے زیادہ خطرناک ہو سکتا ہے، لیکن خطرے کی سطح اس حقیقت سے کم ہو جاتی ہے کہ خطرہ صرف OpenSSL 3.0.4 ریلیز میں ظاہر ہوتا ہے، جبکہ بہت سی تقسیمیں 1.1.1 کو بھیجتی رہتی ہیں۔ ڈیفالٹ کے طور پر برانچ یا ابھی تک ورژن 3.0.4 کے ساتھ پیکیج اپ ڈیٹس بنانے کا وقت نہیں ہے۔
ماخذ: opennet.ru