OpenSSL kriptografik kutubxonasida zaiflik aniqlandi (CVE hali tayinlanmagan), uning yordamida masofaviy tajovuzkor TLS ulanishini o'rnatish vaqtida maxsus ishlab chiqilgan ma'lumotlarni yuborish orqali jarayon xotirasi tarkibiga zarar etkazishi mumkin. Muammo tajovuzkor kodining bajarilishiga va protsessual xotiradan ma'lumotlarning oqib ketishiga olib kelishi mumkinmi yoki bu halokat bilan cheklanganmi, hozircha aniq emas.
Zaiflik 3.0.4-iyun kuni chop etilgan OpenSSL 21 versiyasida paydo bo‘ladi va koddagi xatoning noto‘g‘ri tuzatilishi natijasida yuzaga keladi, bu esa 8192 baytgacha ma’lumotlarning qayta yozilishi yoki ajratilgan buferdan tashqari o‘qilishiga olib kelishi mumkin. Zaiflikdan foydalanish faqat AVX86 ko'rsatmalarini qo'llab-quvvatlaydigan x64_512 tizimlarida mumkin.
BoringSSL va LibreSSL kabi OpenSSL vilkalariga, shuningdek, OpenSSL 1.1.1 filialiga muammo ta'sir qilmaydi. Tuzatish hozircha faqat yamoq sifatida mavjud. Eng yomon stsenariyda muammo Heartbleed zaifligidan ko'ra xavfliroq bo'lishi mumkin, ammo tahdid darajasi zaiflik faqat OpenSSL 3.0.4 versiyasida paydo bo'lishi bilan kamayadi, shu bilan birga ko'plab tarqatishlar 1.1.1 ni etkazib berishda davom etmoqda. filiali sukut bo'yicha yoki hali 3.0.4 versiyasi bilan paket yangilanishlarini yaratishga ulgurmagan.
Manba: opennet.ru