Οι συντηρητές του OpenSSL project έχουν κυκλοφορήσει ενημερώσεις κώδικα για την αντιμετώπιση ενός σφάλματος υψηλής σοβαρότητας στο cryptographic library που θα μπορούσε ενδεχομένως να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα κάτω από ορισμένα σενάρια.
Δείτε επίσης: Apple: Το νέο Lockdown Mode θα προσφέρει προστασία έναντι spyware
Το ζήτημα, στο οποίο έχει πλέον εκχωρηθεί το αναγνωριστικό CVE-2022-2274, έχει περιγραφεί ως περίπτωση heap memory corruption με λειτουργία ιδιωτικού κλειδιού RSA που εισήχθη στην έκδοση OpenSSL 3.0.4 που κυκλοφόρησε στις 21 Ιουνίου 2022.
Δείτε επίσης: SHI International: Χτυπήθηκε από επίθεση malware
Το OpenSSL κυκλοφόρησε για πρώτη φορά το 1998, είναι ένα cryptography library γενικής χρήσης που προσφέρει implementation ανοιχτού κώδικα των πρωτοκόλλων Secure Sockets Layer (SSL) και Transport Layer Security (TLS), επιτρέποντας στους χρήστες να δημιουργούν ιδιωτικά κλειδιά, να δημιουργούν αιτήματα υπογραφής πιστοποιητικών (CSRs) και να εγκαθιστούν πιστοποιητικά SSL/TLS.
“Οι servers SSL/TLS ή άλλοι servers που χρησιμοποιούν ιδιωτικά κλειδιά RSA 2048 bit που εκτελούνται σε μηχανήματα που υποστηρίζουν οδηγίες AVX512IFMA της αρχιτεκτονικής X86_64 επηρεάζονται από αυτό το ζήτημα“, σημειώνεται στην ανακοίνωση.
Αποκαλώντας το “σοβαρό σφάλμα στην υλοποίηση RSA”, οι συντηρητές είπαν ότι το ελάττωμα θα μπορούσε να οδηγήσει σε καταστροφή της μνήμης κατά τον υπολογισμό που θα μπορούσε να οπλιστεί από έναν εισβολέα για να ενεργοποιήσει την απομακρυσμένη εκτέλεση κώδικα στο μηχάνημα που εκτελεί τον υπολογισμό.
Δείτε επίσης: Marriott: Νέα παραβίαση δεδομένων για την αλυσίδα ξενοδοχείων
Ο Xi Ruoyao, Ph.D. φοιτητής στο Πανεπιστήμιο Xidian, ανέφερε το ελάττωμα στο OpenSSL στις 22 Ιουνίου 2022. Συνιστάται στους χρήστες της βιβλιοθήκης να κάνουν αναβάθμιση στην έκδοση OpenSSL 3.0.5 για να μετριάσουν τυχόν πιθανές απειλές.
Πηγή πληροφοριών: thehackernews.com
