یک آسیبپذیری remote memory-corruption در آخرین نسخه از کتابخانه OpenSSL توسط محققان کشف شده است.
این نقص در OpenSSL نسخه 3.0.4 شناسایی شده است که در 21 ژوئن 2022 منتشر شد و سیستمهای x64 را با مجموعه دستورالعمل AVX-512 تحتتأثیر قرار میدهد.
OpenSSL 1.1.1 و همچنین فورکهای OpenSSL BoringSSL و LibreSSL تحتتأثیر قرار نمیگیرند.
گیدو ورانکن، محقق امنیتی که این باگ را در پایان ماه May گزارش کرد گفت: این آسیبپذیری میتواند به طور پیش پا افتاده توسط یک مهاجم ایجاد شود. اگرچه این نقص برطرف شده است، اما هنوز هیچ وصلهای در دسترس قرار نگرفته است.
Tomáš Mráz از بنیاد OpenSSL در GitHub گفت: فکر نمیکنم این یک آسیبپذیری امنیتی باشد. این فقط یک نقص جدی است که باعث میشود نسخه 3.0.4 در دستگاههای دارای قابلیت AVX-512 غیرقابل استفاده باشد.
از سوی دیگر، الکس گینور خاطرنشان کرد: مطمئن نیستم که چگونه این یک آسیبپذیری امنیتی نیست. این یک heap buffer overflow است که با چیزهایی مانند امضاهای RSA قابل راهاندازی است، و میتواند به راحتی در زمینههای راه دور اتفاق بیفتد (مثلاً یک TLS handshake).
Xi Ruoyao، دانشجوی کارشناسی ارشد در دانشگاه Xidian، گفت که من فکر میکنم نباید یک باگ را به عنوان "آسیبپذیری امنیتی" علامتگذاری کنیم مگر اینکه شواهدی داشته باشیم که نشان دهد میتواند (یا حداقل ممکن است) مورد سوءاستفاده قرار گیرد، اما ضروری است با توجه به شدت مشکل در اسرع وقت نسخه 3.0.5 منتشر گردد.
این نقص در OpenSSL نسخه 3.0.4 شناسایی شده است که در 21 ژوئن 2022 منتشر شد و سیستمهای x64 را با مجموعه دستورالعمل AVX-512 تحتتأثیر قرار میدهد.
OpenSSL 1.1.1 و همچنین فورکهای OpenSSL BoringSSL و LibreSSL تحتتأثیر قرار نمیگیرند.
گیدو ورانکن، محقق امنیتی که این باگ را در پایان ماه May گزارش کرد گفت: این آسیبپذیری میتواند به طور پیش پا افتاده توسط یک مهاجم ایجاد شود. اگرچه این نقص برطرف شده است، اما هنوز هیچ وصلهای در دسترس قرار نگرفته است.
Tomáš Mráz از بنیاد OpenSSL در GitHub گفت: فکر نمیکنم این یک آسیبپذیری امنیتی باشد. این فقط یک نقص جدی است که باعث میشود نسخه 3.0.4 در دستگاههای دارای قابلیت AVX-512 غیرقابل استفاده باشد.
از سوی دیگر، الکس گینور خاطرنشان کرد: مطمئن نیستم که چگونه این یک آسیبپذیری امنیتی نیست. این یک heap buffer overflow است که با چیزهایی مانند امضاهای RSA قابل راهاندازی است، و میتواند به راحتی در زمینههای راه دور اتفاق بیفتد (مثلاً یک TLS handshake).
Xi Ruoyao، دانشجوی کارشناسی ارشد در دانشگاه Xidian، گفت که من فکر میکنم نباید یک باگ را به عنوان "آسیبپذیری امنیتی" علامتگذاری کنیم مگر اینکه شواهدی داشته باشیم که نشان دهد میتواند (یا حداقل ممکن است) مورد سوءاستفاده قرار گیرد، اما ضروری است با توجه به شدت مشکل در اسرع وقت نسخه 3.0.5 منتشر گردد.