ProduktOpenSSL: 3.0.4
Numer CVECVE-2022-2274
Krytyczność9.8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H]
OpisLuka wynika z błędu granicznego w implementacji RSA dla procesorów X86_64 obsługujących instrukcje AVX512IFMA. Osoba atakująca zdalnie może przekazać do aplikacji specjalnie spreparowane dane, wywołać przepełnienie bufora na stercie i wykonać dowolny kod w systemie docelowym. Pomyślne wykorzystanie tej luki może spowodować całkowite złamanie luki w systemie. Ten problem dotyczy serwerów SSL/TLS lub innych serwerów korzystających z 2048-bitowych kluczy prywatnych RSA działających na komputerach obsługujących instrukcje AVX512IFMA architektury X86_64.
  
Numer CVECVE-2022-2097
Krytyczność3.7/10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N]
OpisLuka wynika z błędu w trybie AES OCB dla 32-bitowych platform x86 korzystających z implementacji zoptymalizowanej pod kątem montażu AES-NI. W określonych okolicznościach OpenSSL nie szyfruje całej wiadomości i może ujawnić szesnaście bajtów danych, które istniały wcześniej w pamięci, która nie została zapisana. Osoba atakująca zdalnie może uzyskać dostęp do potencjalnie poufnych informacji.
AktualizacjaTAK
Linkhttps://www.openssl.org/news/secadv/20220705.txt