colin thierry
El Proyecto OpenSSL reparó recientemente dos fallas de seguridad de alta gravedad en su biblioteca criptográfica de código abierto que se utiliza para cifrar los canales de comunicación y las conexiones HTTPS.
Estas vulnerabilidades (CVE-2022-3602 y CVE-2022-3786) afectan a OpenSSL versión 3.0.0 y posteriores y se abordaron en OpenSSL 3.0.7.
CVE-2022-3602 puede explotarse para causar fallas o ejecución remota de código (RCE), mientras que CVE-2022-3786 puede ser utilizado por actores de amenazas a través de direcciones de correo electrónico maliciosas para desencadenar un estado de denegación de servicio.
"Todavía consideramos que estos problemas son vulnerabilidades graves y se anima a los usuarios afectados a actualizar lo antes posible", dijo el equipo de OpenSSL en un comunicado. ambiental el martes.
“No tenemos conocimiento de ningún exploit funcional que pueda conducir a la ejecución remota de código, y no tenemos evidencia de que estos problemas se exploten al momento de la publicación de esta publicación”, agregó.
Según OpenSSL politica de seguridad, empresas (como ExpressVPN) y los administradores de TI fueron prevenido la semana pasada para buscar vulnerabilidades en sus entornos y prepararse para parchearlas una vez que se lanzara OpenSSL 3.0.7.
"Si sabe de antemano dónde está usando OpenSSL 3.0+ y cómo lo está usando, cuando llegue el aviso podrá determinar rápidamente si está afectado o cómo y qué necesita parchear". dijo El fundador de OpenSSL, Mark J Cox, en una publicación de Twitter.
OpenSSL también proporcionó medidas de mitigación que requerían que los administradores que operaban servidores de seguridad de la capa de transporte (TLS) deshabilitaran la autenticación del cliente TLS hasta que se aplicaran los parches.
El impacto de las vulnerabilidades fue mucho más limitado de lo que se pensó inicialmente dado que CVE-2022-3602 se degradó de crítico a de alta gravedad y solo afecta a OpenSSL 3.0 y versiones posteriores.
Por empresa de seguridad en la nube Wiz.io, solo el 1.5 % de todas las instancias de OpenSSL se vieron afectadas por la falla de seguridad después de analizar las implementaciones en los principales entornos de nube (incluidos AWS, GCP, Azure, OCI y Alibaba Cloud).
El Centro Nacional de Seguridad Cibernética de los Países Bajos también compartió una lista de los productos de software confirmados que no se vieron afectados por la vulnerabilidad de OpenSSL.
- blockchain
- Coingenius
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- Detectives de seguridad
- VPN
- seguridad del sitio web
- zephyrnet
