idNSA.id - Versi terbaru dari library OpenSSL telah ditemukan
rentan terhadap kerentanan remote memory corruption pada sistem tertentu.
Masalah telah diidentifikasi di OpenSSL versi 3.0.4 , yang
dirilis pada 21 Juni 2022, dan memengaruhi sistem x64 dengan set instruksi
AVX-512. OpenSSL 1.1.1 serta OpenSSL forks BoringSSL dan LibreSSL tidak
terpengaruh.
Peneliti keamanan Guido Vranken, yang melaporkan bug tersebut
pada akhir Mei, mengatakan bahwa bug itu "dapat dipicu secara sepele oleh
penyerang." Meskipun kekurangannya telah diperbaiki, belum ada patch yang
tersedia.
OpenSSL adalah library kriptografi populer yang menawarkan
implementasi open source dari protokol Transport Layer Security ( TLS ).
Advanced Vector Extensions ( AVX ) adalah ekstensi ke arsitektur set instruksi
x86 untuk mikroprosesor dari Intel dan AMD.
"Saya tidak berpikir ini adalah kerentanan
keamanan," kata Tomáš Mráz dari OpenSSL Foundation dalam tweet masalah
GitHub. "Ini hanya bug serius yang membuat rilis 3.0.4 tidak dapat
digunakan pada mesin yang mendukung AVX-512."
Di sisi lain, Alex Gaynor menunjukkan, "Saya tidak yakin
saya mengerti bagaimana itu bukan kerentanan keamanan. Ini adalah buffer
overflow heap yang dapat dipicu oleh hal-hal seperti tanda tangan RSA, yang
dapat dengan mudah terjadi dalam konteks jarak jauh (misalnya TLS handshake
)."
