OpenSSL’deki Loop Bug Sunucuların Çökmesine Neden Oluyor
OpenSSL, DoS ataklarına yol açabilecek yüksek önemdeki bir güvenlik zafiyeti için güncelleme yayınladı. CVE-2022-0778 (CVSS puanı: 7.5) olarak izlenen sorun, hatalı biçimlendirilmiş bir sertifikanın geçersiz parametreleriyle ayrıştırılmasından kaynaklanıyor ve bu da “sonsuz döngü” olarak adlandırılıyor. Zafiyet, BN_mod_sqrt() adlı bir işlevde bulunuyor.
Güvenlik açığı OpenSSL 1.0.2, 1.1.1 ve 3.0 sürümlerini etkiliyor, OpenSSL, kusuru 1.0.2zd (premium destek müşterileri için), 1.1.1n ve 3.0.2 sürümlerinin yayınlanmasıyla giderdi. OpenSSL 1.1.0 etkilense de, kullanım ömrünün sonuna ulaştığı için güncelleme yayınlanmayacak. 24 Şubat 2022’de kusuru bildiren Google Project Zero güvenlik araştırmacısı Tavis Ormandy. Düzeltme, Google’dan David Benjamin ve OpenSSL’den Tomáš Mráz tarafından geliştirildi.
Kaynak: thehackernews.com