Colin Thierry
Az OpenSSL Project nemrégiben két súlyos biztonsági hibát javított ki a kommunikációs csatornák és HTTPS-kapcsolatok titkosítására használt nyílt forráskódú kriptográfiai könyvtárában.
Ezek a sebezhetőségek (CVE-2022-3602 és CVE-2022-3786) hatással vannak az OpenSSL 3.0.0-s és újabb verzióira, és az OpenSSL 3.0.7-ben foglalkoztak.
A CVE-2022-3602 összeomlások vagy távoli kódvégrehajtás (RCE) okozására használható, míg a CVE-2022-3786 a fenyegetés szereplői rosszindulatú e-mail címeken keresztül szolgáltatásmegtagadási állapotot válthatnak ki.
„Még mindig komoly sebezhetőségnek tekintjük ezeket a problémákat, és az érintett felhasználókat arra biztatjuk, hogy a lehető leghamarabb frissítsenek” – mondta az OpenSSL csapata. nyilatkozat kedden.
"Nem tudunk olyan működő kizsákmányolásról, amely távoli kódfuttatáshoz vezethet, és nincs bizonyítékunk arra, hogy ezeket a problémákat kihasználták volna e poszt megjelenésének időpontjában" - tette hozzá.
OpenSSL szerint biztonsági politika, cégek (pl ExpressVPN) és informatikai rendszergazdák voltak figyelmeztetett múlt héten, hogy felkutassák a környezetükben a sebezhetőséget, és felkészüljenek azok javítására, amint az OpenSSL 3.0.7 megjelent.
"Ha előre tudja, hogy hol és hogyan használja az OpenSSL 3.0+ verziót, akkor a figyelmeztetés megérkezésekor gyorsan meg tudja határozni, hogy érintett-e Önt, és hogyan kell javítania." mondott Az OpenSSL alapítója, Mark J Cox Twitter-bejegyzésben.
Az OpenSSL enyhítő intézkedéseket is kínált, amelyek megkövetelték a Transport Layer Security (TLS) kiszolgálókat üzemeltető adminisztrátoroktól, hogy tiltsák le a TLS kliens hitelesítését a javítások alkalmazásáig.
A sérülékenységek hatása sokkal korlátozottabb volt, mint azt eredetileg gondolták, mivel a CVE-2022-3602 kritikusról súlyosra csökkent, és csak az OpenSSL 3.0 és újabb példányait érinti.
Felhőbiztonsági cégenként Wiz.io, az OpenSSL-példányok mindössze 1.5%-át érintette a biztonsági hiba, miután elemeztük a főbb felhőkörnyezetekben (beleértve az AWS-t, a GCP-t, az Azure-t, az OCI-t és az Alibaba Cloudot) végzett telepítéseket.
A holland Nemzeti Kiberbiztonsági Központ is megosztotta a lista Az OpenSSL biztonsági rése továbbra sem érinti a szoftvertermékeket.