Colin Thierry
Julkaistu: Marraskuussa 2, 2022
OpenSSL-projekti korjasi äskettäin kaksi erittäin vakavaa tietoturvavirhettä avoimen lähdekoodin salauskirjastossaan, jota käytetään viestintäkanavien ja HTTPS-yhteyksien salaamiseen.
Nämä haavoittuvuudet (CVE-2022-3602 ja CVE-2022-3786) vaikuttavat OpenSSL-versioon 3.0.0 ja uudempaan, ja niitä käsiteltiin OpenSSL 3.0.7:ssä.
CVE-2022-3602:ta voidaan hyödyntää kaatumisten tai koodin etäsuorittamisen (RCE) aiheuttamiseen, kun taas uhkatoimijat voivat käyttää CVE-2022-3786:ta haitallisten sähköpostiosoitteiden kautta palvelunestotilan käynnistämiseen.
"Pidämme näitä ongelmia edelleen vakavina haavoittuvuuksina, ja käyttäjiä, joita asia koskee, kehotetaan päivittämään mahdollisimman pian", OpenSSL-tiimi sanoi. selvitys tiistaina.
"Emme ole tietoisia mistään toimivasta hyväksikäytöstä, joka voisi johtaa koodin etäsuorittamiseen, eikä meillä ole todisteita näiden ongelmien hyödyntämisestä tämän viestin julkaisuhetkellä", se lisäsi.
OpenSSL:n mukaan turvallisuuspolitiikka, yritykset (esim ExpressVPN) ja IT-järjestelmänvalvojat olivat varoitti Viime viikolla etsiä ympäristöstään haavoittuvuuksia ja valmistautua korjaamaan ne, kun OpenSSL 3.0.7 on julkaistu.
"Jos tiedät etukäteen, missä käytät OpenSSL 3.0+ -versiota ja miten käytät sitä, voit neuvojen tullessa määrittää nopeasti, vaikuttaako se sinuun ja mitä sinun on korjattava." sanoi OpenSSL:n perustaja Mark J Cox Twitter-viestissä.
OpenSSL tarjosi myös lieventäviä toimenpiteitä, jotka vaativat Transport Layer Security (TLS) -palvelimia käyttävien järjestelmänvalvojien poistamaan TLS-asiakastodennuksen käytöstä, kunnes korjaustiedostot on asennettu.
Haavoittuvuuksien vaikutus oli paljon rajallisempi kuin alun perin luultiin, koska CVE-2022-3602 alennettiin kriittisestä erittäin vakaviin ja vaikuttaa vain OpenSSL 3.0:aan ja uudempiin esiintymiin.
Pilvitietoturvayrityskohtainen Wiz.io, vain 1.5 %:ssa kaikista OpenSSL-esiintymistä havaittiin tietoturvavirheen vaikuttavan sen jälkeen, kun analysoitiin käyttöönotot tärkeimmissä pilviympäristöissä (mukaan lukien AWS, GCP, Azure, OCI ja Alibaba Cloud).
Alankomaiden kansallinen kyberturvallisuuskeskus jakoi myös a lista Ohjelmistotuotteista ei ole vahvistettu OpenSSL-haavoittuvuuden vaikutusta.
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- Turvaletket
- VPN
- verkkosivuilla turvallisuus
- zephyrnet
