Die Entwickler von „OpenSSL“ haben Aktualisierungen, sog. Patches zur Verfügung gestellt, um eine schwerwiegende Sicherheitslücke in der Softwarebibliothek zu beheben, die zu einem „Denial-of-Service (DoS)“ beim Parsen von Zertifikaten führen kann.

Das als CVE-2022-0778 (CVSS-Score: 7.5) verfolgte Problem ergibt sich aus dem Parsen eines fehlerhaften Zertifikats mit ungültigen expliziten Ellipsenkurven-Parametern, was zu einer sogenannten „Endlosschleife“ führt.

Die Schwachstelle befindet sich laut den OpenSSL-Entwicklern in einer Funktion namens BN_mod_sqrt(), die zur Berechnung der modularen Quadratwurzel verwendet wird.