كولين تيري
قام مشروع OpenSSL مؤخرًا بتصحيح عيوب أمنية عالية الخطورة في مكتبة التشفير مفتوحة المصدر المستخدمة لتشفير قنوات الاتصال واتصالات HTTPS.
هذه الثغرات (CVE-2022-3602 و CVE-2022-3786) تأثير OpenSSL الإصدار 3.0.0 والإصدارات الأحدث وتم تناوله في OpenSSL 3.0.7.
يمكن استغلال CVE-2022-3602 للتسبب في حدوث أعطال أو تنفيذ التعليمات البرمجية عن بُعد (RCE) ، بينما يمكن استخدام CVE-2022-3786 من قِبل الجهات الفاعلة في التهديد من خلال عناوين البريد الإلكتروني الضارة لإطلاق حالة رفض الخدمة.
قال فريق OpenSSL في بيان يوم الثلاثاء.
وأضافت: "لسنا على علم بأي استغلال للعمل يمكن أن يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد ، وليس لدينا أي دليل على استغلال هذه المشكلات اعتبارًا من وقت إصدار هذا المنشور".
وفقًا لـ OpenSSL's سياسة الأمنوالشركات (مثل ExpressVPN) وكان مسؤولو تكنولوجيا المعلومات حذر الأسبوع الماضي للبحث في بيئاتهم عن نقاط الضعف والاستعداد لتصحيحها بمجرد إصدار OpenSSL 3.0.7.
"إذا كنت تعرف مقدمًا مكان استخدام OpenSSL 3.0+ وكيف تستخدمه ، فعند ظهور الاستشارة ، ستتمكن بسرعة من تحديد ما إذا كنت ستتأثر أو كيف ستتأثر وما الذي تحتاج إلى تصحيحه ،" محمد مؤسس OpenSSL Mark J Cox في منشور على Twitter.
قدم OpenSSL أيضًا إجراءات التخفيف التي تتطلب من المسؤولين الذين يشغلون خوادم بروتوكول أمان طبقة النقل (TLS) تعطيل مصادقة عميل TLS حتى يتم تطبيق التصحيحات.
كان تأثير الثغرات الأمنية محدودًا أكثر مما كان يعتقد في البداية نظرًا لأن CVE-2022-3602 قد تم تخفيضه من حرج إلى شديد الخطورة ولا يؤثر إلا على OpenSSL 3.0 والإصدارات الأحدث.
لكل شركة أمان سحابية Wiz.io، تم العثور على 1.5٪ فقط من جميع مثيلات OpenSSL متأثرة بالخلل الأمني بعد تحليل عمليات النشر عبر بيئات السحابة الرئيسية (بما في ذلك AWS و GCP و Azure و OCI و Alibaba Cloud).
كما شارك المركز الوطني للأمن السيبراني في هولندا قائمة من منتجات البرامج التي تأكد أنها لم تتأثر بثغرة OpenSSL.
