A ti ṣe idanimọ ailagbara kan ni ile-ikawe cryptographic OpenSSL (CVE ko tii sọtọ), pẹlu iranlọwọ eyiti olutaja latọna jijin le ba awọn akoonu ti iranti ilana jẹ nipa fifiranṣẹ data apẹrẹ pataki ni akoko idasile asopọ TLS kan. Ko tii ṣe kedere boya iṣoro naa le ja si ipaniyan koodu ikọlu ati jijo data lati iranti ilana, tabi boya o ni opin si jamba kan.
Ailagbara naa han ninu itusilẹ OpenSSL 3.0.4, ti a tẹjade ni Oṣu Karun ọjọ 21, ati pe o ṣẹlẹ nipasẹ atunṣe ti ko tọ fun kokoro kan ninu koodu ti o le ja si to awọn baiti 8192 ti data ni kọkọ tabi ka kọja ifipamọ ti a pin. Lilo ailagbara jẹ ṣee ṣe nikan lori awọn ọna ṣiṣe x86_64 pẹlu atilẹyin fun awọn ilana AVX512.
Awọn orita ti OpenSSL gẹgẹbi BoringSSL ati LibreSSL, bakannaa ẹka OpenSSL 1.1.1, ko ni ipa nipasẹ iṣoro naa. Atunṣe naa wa lọwọlọwọ nikan bi alemo kan. Ni iṣẹlẹ ti o buruju, iṣoro naa le jẹ ewu diẹ sii ju ailagbara Heartbleed, ṣugbọn ipele ewu ti dinku nipasẹ otitọ pe ailagbara naa han nikan ni OpenSSL 3.0.4 itusilẹ, lakoko ti ọpọlọpọ awọn pinpin tẹsiwaju lati firanṣẹ 1.1.1 naa. ẹka nipasẹ aiyipada tabi ko ti ni akoko lati kọ awọn imudojuiwọn package pẹlu ẹya 3.0.4.
orisun: opennet.ru