Argitalpen data: 2022/03/16
Garrantzia:Altua
Kaltetutako baliabideak:
OpenSSL, 1.0.2, 1.1.1 eta 3.0 bertsioak. Egoera ahulen artean honako hauek daude:
- zerbitzari ziurtagiriak kontsumitzen dituzten TLS bezeroak;
- bezero ziurtagiriak kontsumitzen dituzten TLS zerbitzariak;
- bezeroen ziurtagiriak edo gako pribatuak jasotzen dituzten ostatatze zerbitzuak;
- harpidedunen ziurtatze eskariak aztertzen dituzten ziurtapen agintariak;
- ASN.1 kurba eliptikoaren parametroak aztertzen dituen beste edozer gauza.
Azalpena:
Google-ko Tavis Ormandy-k larritasun altuko ahultasun baten berri eman dio OpenSSLri. Horren bitartez akats batek begizta amaigabe bat eragin lezake.
Konponbidea:
- OpenSSL 1.0.2 eguneratu beharra dago 1.0.2zd bertsiora (soilik premium zerbitzua duten bezeroentzat);
- OpenSSL 1.1.1 eguneratu beharra dago 1.1.1n bertsiora;
- OpenSSL 3.0 eguneratu beharra dago 3.0.2 bertsiora.
Xehetasuna:
Erro karratu modular bat kalkulatzen duen BN_mod_sqrt() funtzioak akats bat dauka, modulu ez lehenentzat begizta amaigabe bat eragin lezakeena. Begizta amaigabea eragin liteke baliagarriak ez diren kurbaren parametro esplizituak dituen ziurtagiri bat sortzen bada. Ahultasun horretarako CVE-2022-0778 identifikatzailea esleitu da.
Etiketak:Eguneraketa, SSL/TLS, Ahultasuna