कॉलिन थियरी
ओपनएसएसएल प्रोजेक्ट ने हाल ही में अपनी ओपन-सोर्स क्रिप्टोग्राफिक लाइब्रेरी में दो उच्च-गंभीर सुरक्षा खामियों को ठीक किया है जो संचार चैनलों और एचटीटीपीएस कनेक्शन को एन्क्रिप्ट करने के लिए उपयोग की जाती हैं।
ये कमजोरियां (CVE-2022-3602 और CVE-2022-3786) ओपनएसएसएल संस्करण 3.0.0 और बाद के संस्करण को प्रभावित करते हैं और ओपनएसएसएल 3.0.7 में संबोधित किए गए थे।
CVE-2022-3602 का उपयोग क्रैश या रिमोट कोड निष्पादन (RCE) करने के लिए किया जा सकता है, जबकि CVE-2022-3786 का उपयोग धमकी देने वाले अभिनेताओं द्वारा दुर्भावनापूर्ण ईमेल पते के माध्यम से सेवा राज्य से इनकार करने के लिए किया जा सकता है।
ओपनएसएसएल टीम ने एक में कहा, "हम अभी भी इन मुद्दों को गंभीर कमजोरियां मानते हैं और प्रभावित उपयोगकर्ताओं को जल्द से जल्द अपग्रेड करने के लिए प्रोत्साहित किया जाता है।" कथन मंगलवार को.
"हम किसी भी काम कर रहे शोषण के बारे में नहीं जानते हैं जिससे रिमोट कोड निष्पादन हो सकता है, और हमारे पास इस पोस्ट के जारी होने के समय इन मुद्दों का फायदा उठाने का कोई सबूत नहीं है।"
ओपनएसएसएल के अनुसार सुरक्षा नीति, कंपनियां (जैसे ExpressVPN) और आईटी व्यवस्थापक थे आगाह पिछले सप्ताह कमजोरियों के लिए उनके वातावरण की खोज करने के लिए और ओपनएसएसएल 3.0.7 जारी होने के बाद उन्हें पैच करने के लिए तैयार करने के लिए।
"यदि आप पहले से जानते हैं कि आप ओपनएसएसएल 3.0+ का उपयोग कहां कर रहे हैं और आप इसका उपयोग कैसे कर रहे हैं तो जब सलाह आती है तो आप जल्दी से यह निर्धारित करने में सक्षम होंगे कि आप प्रभावित हैं या नहीं और आपको क्या पैच करने की आवश्यकता है," कहा एक ट्विटर पोस्ट में ओपनएसएसएल के संस्थापक मार्क जे कॉक्स।
ओपनएसएसएल ने कम करने के उपायों को भी प्रदान किया, जब तक कि पैच लागू होने तक टीएलएस क्लाइंट प्रमाणीकरण को अक्षम करने के लिए ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) सर्वरों को संचालित करने वाले व्यवस्थापक की आवश्यकता होती है।
सीवीई-2022-3602 को महत्वपूर्ण से उच्च-गंभीरता में डाउनग्रेड किया गया था और केवल ओपनएसएसएल 3.0 और बाद के उदाहरणों को प्रभावित करते हुए कमजोरियों का प्रभाव शुरू में सोचा गया था, उससे कहीं अधिक सीमित था।
प्रति क्लाउड सुरक्षा फर्म विज.आईओ, सभी ओपनएसएसएल उदाहरणों में से केवल 1.5% प्रमुख क्लाउड वातावरण (एडब्ल्यूएस, जीसीपी, एज़्योर, ओसीआई और अलीबाबा क्लाउड सहित) में तैनाती का विश्लेषण करने के बाद सुरक्षा दोष से प्रभावित पाए गए।
नीदरलैंड के राष्ट्रीय साइबर सुरक्षा केंद्र ने भी साझा किया सूची ओपनएसएसएल भेद्यता से प्रभावित नहीं रहने के लिए पुष्टि किए गए सॉफ़्टवेयर उत्पादों की संख्या।
