OpenSSL kriptografik kutubxonasining 3.0.2 va 1.1.1n texnik relizlari mavjud. Yangilanish xizmat ko'rsatishni rad etish (ishlovchining cheksiz aylanishi) uchun ishlatilishi mumkin bo'lgan zaiflikni (CVE-2022-0778) tuzatadi. Zaiflikdan foydalanish uchun maxsus ishlab chiqilgan sertifikatni qayta ishlash kifoya. Muammo foydalanuvchi tomonidan taqdim etilgan sertifikatlarni qayta ishlay oladigan server va mijoz ilovalarida yuzaga keladi.
Muammo BN_mod_sqrt() funksiyasidagi xato tufayli yuzaga keladi, bu esa kvadrat ildiz modulini hisoblashda tub sondan boshqa narsaning aylanishiga olib keladi. Funktsiya sertifikatlarni elliptik egri chiziqlarga asoslangan kalitlar bilan tahlil qilishda ishlatiladi. Operatsiya sertifikatga noto'g'ri elliptik egri parametrlarni almashtirish bilan bog'liq. Muammo sertifikatning raqamli imzosi tekshirilishidan oldin yuzaga kelganligi sababli, hujum mijoz yoki server sertifikatining OpenSSL yordamida ilovalarga uzatilishiga olib kelishi mumkin bo'lgan autentifikatsiya qilinmagan foydalanuvchi tomonidan amalga oshirilishi mumkin.
Zaiflik OpenBSD loyihasi tomonidan ishlab chiqilgan LibreSSL kutubxonasiga ham ta'sir qiladi, uni tuzatish LibreSSL 3.3.6, 3.4.3 va 3.5.1 tuzatuvchi nashrlarida taklif qilingan. Bundan tashqari, zaiflikdan foydalanish shartlari tahlili e'lon qilindi (muzlatishga olib keladigan zararli sertifikat namunasi hali ommaga e'lon qilinmagan).
Manba: opennet.ru