Κόλιν Τιερί
Δημοσιεύθηκε στις: Νοέμβριος 2, 2022
Το OpenSSL Project επιδιορθώνει πρόσφατα δύο ελαττώματα ασφαλείας υψηλής σοβαρότητας στην κρυπτογραφική βιβλιοθήκη ανοιχτού κώδικα που χρησιμοποιείται για την κρυπτογράφηση καναλιών επικοινωνίας και συνδέσεων HTTPS.
Αυτά τα τρωτά σημεία (CVE-2022-3602 και CVE-2022-3786) επηρεάζουν την έκδοση OpenSSL 3.0.0 και νεότερες εκδόσεις και αντιμετωπίζονται στο OpenSSL 3.0.7.
Το CVE-2022-3602 μπορεί να χρησιμοποιηθεί για την πρόκληση σφαλμάτων ή απομακρυσμένης εκτέλεσης κώδικα (RCE), ενώ το CVE-2022-3786 μπορεί να χρησιμοποιηθεί από παράγοντες απειλών μέσω κακόβουλων διευθύνσεων ηλεκτρονικού ταχυδρομείου για να ενεργοποιήσει μια κατάσταση άρνησης υπηρεσίας.
«Εξακολουθούμε να θεωρούμε ότι αυτά τα ζητήματα είναι σοβαρά τρωτά σημεία και οι χρήστες που επηρεάζονται ενθαρρύνονται να αναβαθμίσουν το συντομότερο δυνατό», δήλωσε η ομάδα του OpenSSL σε μια δήλωση την Τρίτη.
«Δεν γνωρίζουμε κανένα λειτουργικό exploit που θα μπορούσε να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα και δεν έχουμε στοιχεία για την εκμετάλλευση αυτών των ζητημάτων από τη στιγμή της δημοσίευσης αυτής της ανάρτησης», πρόσθεσε.
Σύμφωνα με το OpenSSL πολιτική ασφαλείας, εταιρείες (όπως ExpressVPN) και οι διαχειριστές πληροφορικής ήταν προειδοποίησε την περασμένη εβδομάδα για να ψάξουν τα περιβάλλοντά τους για τρωτά σημεία και να προετοιμαστούν να τα επιδιορθώσουν μόλις κυκλοφορήσει το OpenSSL 3.0.7.
"Εάν γνωρίζετε εκ των προτέρων πού χρησιμοποιείτε το OpenSSL 3.0+ και πώς το χρησιμοποιείτε, όταν έρθει η συμβουλή, θα μπορείτε γρήγορα να προσδιορίσετε εάν ή πώς επηρεάζεστε και τι πρέπει να επιδιορθώσετε." είπε Ο ιδρυτής του OpenSSL Mark J Cox σε μια ανάρτηση στο Twitter.
Το OpenSSL παρείχε επίσης μέτρα μετριασμού που απαιτούσαν από τους διαχειριστές που λειτουργούν διακομιστές Transport Layer Security (TLS) να απενεργοποιούν τον έλεγχο ταυτότητας πελάτη TLS μέχρι να εφαρμοστούν οι ενημερώσεις κώδικα.
Ο αντίκτυπος των τρωτών σημείων ήταν πολύ πιο περιορισμένος από ό,τι αρχικά πιστευόταν, δεδομένου ότι το CVE-2022-3602 υποβαθμίστηκε από κρίσιμο σε υψηλής σοβαρότητας και επηρεάζει μόνο το OpenSSL 3.0 και νεότερες παρουσίες.
Ανά εταιρεία ασφάλειας cloud Wiz.io, μόνο το 1.5% όλων των παρουσιών OpenSSL βρέθηκε να επηρεάζεται από το ελάττωμα ασφαλείας μετά την ανάλυση των αναπτύξεων σε μεγάλα περιβάλλοντα cloud (συμπεριλαμβανομένων των AWS, GCP, Azure, OCI και Alibaba Cloud).
Το Εθνικό Κέντρο Κυβερνοασφάλειας της Ολλανδίας μοιράστηκε επίσης ένα λίστα προϊόντων λογισμικού που επιβεβαιώθηκε ότι δεν επηρεάζονται από την ευπάθεια OpenSSL.
- blockchain
- Coingenius
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- Ντετέκτιβ ασφαλείας
- VPN
- ιστοσελίδα της ασφάλειας
- zephyrnet
