OpenSSL projesinin sahipleri, kriptografik kitaplıkta belirli senaryolar altında potansiyel olarak uzaktan kod yürütülmesine yol açabilecek yüksek önemdeki bir hatayı gidermek için yamalar yayınladı.
bu sorunşimdi tanımlayıcı atandı CVE-2022-227421 Haziran 2022’de yayınlanan OpenSSL sürüm 3.0.4’te tanıtılan RSA özel anahtar işlemiyle bir yığın bellek bozulması durumu olarak tanımlanmıştır.
İlk olarak 1998’de piyasaya sürülen OpenSSL, genel amaçlı bir kriptografi kitaplığı Güvenli Yuva Katmanı (SSL) ve Aktarım Katmanı Güvenliği (TLS) protokollerinin açık kaynaklı uygulamasını sunan, kullanıcıların özel anahtarlar oluşturmasını, sertifika imzalama istekleri oluşturmasını sağlayan (CSR’ler), SSL/TLS sertifikalarını yükleyin.
“X86_64 mimarisinin AVX512IFMA talimatlarını destekleyen makinelerde çalışan 2048 bit RSA özel anahtarlarını kullanan SSL/TLS sunucuları veya diğer sunucular bu sorundan etkilenir”, danışma belgesi kayıt edilmiş.
Bunu “RSA uygulamasında ciddi bir hata” olarak nitelendiren bakımcılar, kusurun hesaplama sırasında bir saldırgan tarafından, hesaplamayı gerçekleştiren makinede uzaktan kod yürütülmesini tetiklemek için silah haline getirilebilecek bellek bozulmasına yol açabileceğini söyledi.
Xi Ruoyao, Ph.D. Xidian Üniversitesi’ndeki bir öğrenci, 22 Haziran 2022’de kusuru OpenSSL’ye bildirdiği için kredilendirildi. Kütüphane kullanıcılarının yeni sürüme geçmeleri önerilir. OpenSSL sürüm 3.0.5 olası tehditleri azaltmak için.
