Pengelola proyek OpenSSL telah merilis tambalan untuk mengatasi bug dengan tingkat keparahan tinggi di perpustakaan kriptografi yang berpotensi menyebabkan eksekusi kode jarak jauh dalam skenario tertentu.
Masalahnya, sekarang ditetapkan pengidentifikasi CVE-2022-2274telah digambarkan sebagai kasus korupsi memori tumpukan dengan operasi kunci pribadi RSA yang diperkenalkan di OpenSSL versi 3.0.4 yang dirilis pada 21 Juni 2022.
Pertama kali dirilis pada tahun 1998, OpenSSL adalah perpustakaan kriptografi tujuan umum yang menawarkan implementasi sumber terbuka dari protokol Secure Sockets Layer (SSL) dan Transport Layer Security (TLS), memungkinkan pengguna untuk menghasilkan kunci pribadi, membuat permintaan penandatanganan sertifikat (CSR) , instal sertifikat SSL/TLS.
“Server SSL/TLS atau server lain yang menggunakan kunci privat RSA 2048 bit yang berjalan pada mesin yang mendukung instruksi AVX512IFMA dari arsitektur X86_64 terpengaruh oleh masalah ini,” saran tersebut mencatat.
Menyebutnya sebagai “bug serius dalam implementasi RSA,” pengelola mengatakan cacat tersebut dapat menyebabkan kerusakan memori selama komputasi yang dapat dipersenjatai oleh penyerang untuk memicu eksekusi kode jarak jauh pada mesin yang melakukan komputasi.
Xi Ruoyao, seorang Ph.D. mahasiswa di Universitas Xidian, telah dikreditkan dengan melaporkan cacat ke OpenSSL pada 22 Juni 2022. Pengguna perpustakaan disarankan untuk meningkatkan ke OpenSSL versi 3.0.5 untuk mengurangi potensi ancaman.