Colin Thierry
OpenSSL-projekt parandas hiljuti kaks väga tõsist turvaviga oma avatud lähtekoodiga krüptoteegis, mida kasutatakse sidekanalite ja HTTPS-ühenduste krüptimiseks.
Need haavatavused (CVE-2022-3602 ja CVE-2022-3786) mõjutavad OpenSSL-i versiooni 3.0.0 ja uuemaid ning neid käsitleti OpenSSL-i versioonis 3.0.7.
CVE-2022-3602 saab ära kasutada krahhide või koodi kaugkäitamise (RCE) tekitamiseks, samas kui CVE-2022-3786 saavad ohus osalejad kasutada pahatahtlike meiliaadresside kaudu teenuse keelamise oleku käivitamiseks.
"Peame neid probleeme endiselt tõsisteks haavatavusteks ja mõjutatud kasutajaid julgustatakse võimalikult kiiresti uuendama," ütles OpenSSL-i meeskond. avaldus teisipäeval.
"Me ei ole teadlikud ühestki töötavast ärakasutamisest, mis võiks viia koodi kaugkäitamiseni, ja meil pole selle postituse avaldamise seisuga tõendeid nende probleemide ärakasutamise kohta," lisati.
OpenSSL-i järgi julgeolekupoliitika, ettevõtted (nagu ExpressVPN) ja IT-administraatorid olid hoiatas eelmisel nädalal, et otsida oma keskkondadest turvaauke ja valmistuda nende parandamiseks pärast OpenSSL 3.0.7 väljalaskmist.
"Kui teate ette, kus te kasutate versiooni OpenSSL 3.0+ ja kuidas seda kasutate, saate nõuande saabudes kiiresti kindlaks teha, kas või kuidas see teid mõjutab ja mida peate parandama." ütles OpenSSL-i asutaja Mark J Cox Twitteri postituses.
OpenSSL pakkus ka leevendusmeetmeid, mis nõuavad transpordikihi turvalisuse (TLS) serverite administraatoritelt TLS-i kliendi autentimise keelamist, kuni paigad on rakendatud.
Haavatavuste mõju oli palju piiratum, kui algselt arvati, arvestades, et CVE-2022-3602 alandati kriitiliselt kõrgetasemeliseks ja see mõjutab ainult OpenSSL 3.0 ja hilisemaid juhtumeid.
Pilveturbefirma kohta Wiz.io, leiti, et pärast suuremates pilvekeskkondades (sealhulgas AWS, GCP, Azure, OCI ja Alibaba Cloud) juurutamiste analüüsimist on turbeviga mõjutatud vaid 1.5% kõigist OpenSSL-i eksemplaridest.
Hollandi riiklik küberjulgeolekukeskus jagas ka a nimekiri tarkvaratoodetest, mida OpenSSL-i haavatavus ei mõjuta.
- blockchain
- coingenius
- krüptovaluuta rahakotid
- krüptovahetus
- küberturvalisus
- küberkurjategijad
- Küberturvalisus
- sisejulgeoleku osakond
- digitaalsed rahakotid
- tulemüüri
- Kaspersky
- malware
- mcafee
- NexBLOC
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platoni mäng
- PlatoData
- platogaming
- Ohutusdetektiivid
- VPN
- kodulehel turvalisus
- sephyrnet
