أصدر المشرفون على مشروع OpenSSL تصحيحات لمعالجة خطأ شديد الخطورة في مكتبة التشفير والذي قد يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد في ظل سيناريوهات معينة.
تم وصف المشكلة، التي تم تعيينها الآن للمعرف CVE-2022-2274، على أنها حالة تلف ذاكرة مع عملية المفتاح الخاص RSA التي تم تقديمها في OpenSSL الإصدار 3.0.4 الذي تم إصداره في 21 يونيو 2022.
تم إصدار OpenSSL لأول مرة في عام 1998، وهو عبارة عن مكتبة تشفير للأغراض العامة توفر تنفيذًا مفتوح المصدر لبروتوكولات طبقة مآخذ التوصيل الآمنة (SSL) وبروتوكولات أمان طبقة النقل (TLS)، مما يتيح للمستخدمين إنشاء مفاتيح خاصة وإنشاء طلبات توقيع الشهادات ( CSR )، قم بتثبيت شهادات SSL / TLS.
وأشار الاستشاري إلى أن "خوادم SSL / TLS أو الخوادم الأخرى التي تستخدم مفاتيح خاصة 2048 بت RSA تعمل على الأجهزة التي تدعم تعليمات AVX512IFMA الخاصة بهندسة X86_64 تتأثر بهذه المشكلة" .
وصف المشرفون عليه بأنه "خطأ خطير في تطبيق RSA"، وقالوا إن الخلل يمكن أن يؤدي إلى تلف الذاكرة أثناء الحساب الذي يمكن أن يستخدمه المهاجم كسلاح لتشغيل تنفيذ التعليمات البرمجية عن بُعد على الجهاز الذي يقوم بإجراء الحساب.
Xi Ruoyao، طالب في جامعة Xidian، تم الإبلاغ عن الخلل إلى OpenSSL في 22 يونيو 2022. يوصى مستخدمي المكتبة بالترقية إلى الإصدار 3.0.5 من OpenSSL للتخفيف من أي تهديدات محتملة.
