OpenSSL kitaplığının en son sürümünün, belirli sistemlerde uzaktan bellek bozulması güvenlik açığına açık olduğu keşfedildi.
Sorun OpenSSL’de tespit edildi sürüm 3.0.421 Haziran 2022’de piyasaya sürülen ve x64 sistemlerini etkileyen AVX-512 komut seti. OpenSSL 1.1.1 ve OpenSSL çatalları BoringSSL ve LibreSSL etkilenmez.
Mayıs ayının sonunda hatayı bildiren güvenlik araştırmacısı Guido Vranken, söz konusu “bir saldırgan tarafından önemsiz bir şekilde tetiklenebilir.” eksiklik olsa da sabithenüz herhangi bir yama yayınlanmadı.
OpenSSL, Taşıma Katmanı Güvenliğinin açık kaynaklı bir uygulamasını sunan popüler bir şifreleme kitaplığıdır (TLS) protokol. Gelişmiş Vektör Uzantıları (AVX), Intel ve AMD’den mikroişlemciler için x86 komut seti mimarisinin uzantılarıdır.
OpenSSL Vakfı’ndan Tomáš Mráz, GitHub sorun dizisinde “Bunun bir güvenlik açığı olduğunu düşünmüyorum” dedi. “Bu, 3.0.4 sürümünü AVX-512 özellikli makinelerde kullanılamaz hale getiren ciddi bir hatadır.”
Öte yandan Alex Gaynor, “Bunun nasıl bir güvenlik açığı olmadığını anladığımdan emin değilim. Bu, uzak bağlamlarda (ör. TLS anlaşması) kolayca gerçekleşebilen RSA imzaları gibi şeyler tarafından tetiklenebilen bir yığın arabellek taşması. ).”
Xidian Üniversitesi’nde lisansüstü öğrencisi olan Xi Ruoyao, “Bence bir hatayı, istismar edilebileceğini (veya en azından, kullanılabileceğini) gösteren bir kanıtımız olmadıkça ‘güvenlik açığı’ olarak işaretlememeliyiz,” diyerek araya girdi. Sorunun ciddiyeti göz önüne alındığında, mümkün olan en kısa sürede 3.0.5 sürümünün yayınlanması gerekir.
