Krytyczna podatność RCE w OpenSSL, ale (raczej) nie ma powodów do paniki. CVE-2022-2274

OpenSSL wypuścił właśnie łatkę, informując o luce:

Heap memory corruption with RSA private key operation (CVE-2022-2274). The OpenSSL 3.0.4 release introduced a serious bug in the RSA implementation for X86_64 CPUs supporting the AVX512IFMA instructions.
This issue makes the RSA implementation with 2048 bit private keys incorrect on such machines and memory corruption will happen during the computation. As a consequence of the memory corruption an attacker
may be able to trigger a remote code execution on the machine performing the computation.

Jak widać, podatność występuje tylko w wersji 3.0.4 OpenSSL a procesor musi obsługiwać instrukcję AVX512IFMA.

Tutaj z kolei mamy bardziej szczegółowy opis problemu, przy czym cały czas prawdopodobnie nie ma potwierdzonej informacji faktu exploitowalności luki.

Tak czy siak jeśli ktoś używa OpenSSL w wersji 3.0.4 warto jak najszybciej zaaplikować łatkę.

~Michał Sajdak