OpenSSL’nin koruyucuları gönderilen yamalar sertifikaları ayrıştırırken bir hizmet reddi (DoS) durumuna yol açabilecek yazılım kitaplığındaki yüksek önemdeki bir güvenlik açığını çözmek için.
olarak izlendi CVE-2022-0778 (CVSS puanı: 7.5), sorun hatalı biçimlendirilmiş bir sertifikanın geçersiz açıkla ayrıştırılmasından kaynaklanıyor eliptik eğri parametreler, “sonsuz döngü” olarak adlandırılan şeyle sonuçlanır. Kusur, modüler karekökü hesaplamak için kullanılan BN_mod_sqrt() adlı bir işlevde bulunur.
OpenSSL, 15 Mart 2022’de yayınlanan bir danışma belgesinde, “Sertifika ayrıştırma, sertifika imzasının doğrulanmasından önce gerçekleştiğinden, harici olarak sağlanan bir sertifikayı ayrıştıran herhangi bir işlem bu nedenle bir hizmet reddi saldırısına tabi olabilir.” Dedi.
“Sonsuz döngüye, açık eliptik eğri parametreleri içerebildikleri için hazırlanmış özel anahtarlar ayrıştırılırken de ulaşılabilir.”
Güvenlik açığından doğal olarak yararlanıldığına dair bir kanıt bulunmamakla birlikte, TLS istemcilerinin (veya sunucularının) kötü niyetli bir sunucudan (veya istemciden) sahte bir sertifikaya erişmesi veya sertifika Yetkililer, abonelerden gelen sertifika isteklerini ayrıştırır.
Güvenlik açığı OpenSSL 1.0.2, 1.1.1 ve 3.0 sürümlerini etkiler, proje sahipleri kusuru 1.0.2zd (premium destek müşterileri için), 1.1.1n ve 3.0.2 sürümlerinin yayınlanmasıyla giderdi. OpenSSL 1.1.0, etkilense de, kullanım ömrünün sonuna ulaştığı için bir düzeltme almayacak.
24 Şubat 2022’de kusuru bildiren Google Project Zero güvenlik araştırmacısı Tavis Ormandy’dir. Düzeltme, Google’dan David Benjamin ve OpenSSL’den Tomáš Mráz tarafından geliştirildi.
CVE-2022-0778 aynı zamanda yılın başından bu yana çözülen ikinci OpenSSL güvenlik açığıdır. 28 Ocak 2022’de, bakımcılar orta şiddette bir kusuru düzeltti (CVE-2021-4160CVSS puanı: 5.9) kitaplığın MIPS32 ve MIPS64 kare alma prosedürünü etkiler.