Colin Thierry
OpenSSL-projektet har for nylig rettet to alvorlige sikkerhedsfejl i dets open-source kryptografiske bibliotek, der bruges til at kryptere kommunikationskanaler og HTTPS-forbindelser.
Disse sårbarheder (CVE-2022-3602 og CVE-2022-3786) påvirker OpenSSL version 3.0.0 og nyere og blev behandlet i OpenSSL 3.0.7.
CVE-2022-3602 kan udnyttes til at forårsage nedbrud eller fjernudførelse af kode (RCE), mens CVE-2022-3786 kan udnyttes af trusselsaktører gennem ondsindede e-mail-adresser til at udløse en lammelsesangrebstilstand.
"Vi anser stadig disse problemer for at være alvorlige sårbarheder, og berørte brugere opfordres til at opgradere så hurtigt som muligt," sagde OpenSSL-teamet i en erklæring på tirsdag.
"Vi er ikke opmærksomme på nogen fungerende udnyttelse, der kan føre til fjernudførelse af kode, og vi har ingen beviser for, at disse problemer er blevet udnyttet på tidspunktet for udgivelsen af dette indlæg," tilføjede det.
Ifølge OpenSSL's sikkerhedspolitik, virksomheder (som ExpressVPN) og it-administratorer var advarede sidste uge for at søge i deres miljøer for sårbarheder og forberede sig på at lappe dem, når OpenSSL 3.0.7 blev frigivet.
"Hvis du på forhånd ved, hvor du bruger OpenSSL 3.0+, og hvordan du bruger det, vil du, når vejledningen kommer, hurtigt kunne afgøre, om eller hvordan du er påvirket, og hvad du skal lappe." sagde OpenSSL-stifter Mark J Cox i et Twitter-indlæg.
OpenSSL leverede også afbødende foranstaltninger, der krævede, at administratorer, der driver Transport Layer Security (TLS)-servere, deaktiverede TLS-klientgodkendelse, indtil patcherne blev anvendt.
Virkningen af sårbarhederne var meget mere begrænset end først antaget, da CVE-2022-3602 blev nedgraderet fra kritisk til højsværhedsgrad og kun påvirker OpenSSL 3.0 og senere forekomster.
Per cloud-sikkerhedsfirma Wiz.io, viste sig kun 1.5 % af alle OpenSSL-forekomster at være påvirket af sikkerhedsfejlen efter at have analyseret implementeringer på tværs af store cloudmiljøer (herunder AWS, GCP, Azure, OCI og Alibaba Cloud).
Hollands nationale cybersikkerhedscenter delte også en liste af softwareprodukter, der er bekræftet at forblive ikke påvirket af OpenSSL-sårbarheden.
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- Sikkerhedsdetektiver
- VPN
- website sikkerhed
- zephyrnet
