Luka wynika z błędu granicznego w implementacji RSA dla procesorów X86_64 obsługujących instrukcje AVX512IFMA. Osoba atakująca zdalnie może przekazać do aplikacji specjalnie spreparowane dane, wywołać przepełnienie bufora na stercie i wykonać dowolny kod w systemie docelowym. Pomyślne wykorzystanie tej luki może spowodować całkowite złamanie luki w systemie. Ten problem dotyczy serwerów SSL/TLS lub innych serwerów korzystających z 2048-bitowych kluczy prywatnych RSA działających na komputerach obsługujących instrukcje AVX512IFMA architektury X86_64.
Numer CVE
CVE-2022-2097
Krytyczność
3.7/10
CVSS
AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N]
Opis
Luka wynika z błędu w trybie AES OCB dla 32-bitowych platform x86 korzystających z implementacji zoptymalizowanej pod kątem montażu AES-NI. W określonych okolicznościach OpenSSL nie szyfruje całej wiadomości i może ujawnić szesnaście bajtów danych, które istniały wcześniej w pamięci, która nie została zapisana. Osoba atakująca zdalnie może uzyskać dostęp do potencjalnie poufnych informacji.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny