Colin Thiery
Proyek OpenSSL baru-baru ini menambal dua kelemahan keamanan tingkat tinggi di perpustakaan kriptografi sumber terbuka yang digunakan untuk mengenkripsi saluran komunikasi dan koneksi HTTPS.
Kerentanan ini (CVE-2022-3602 dan CVE-2022-3786) berdampak pada OpenSSL versi 3.0.0 dan yang lebih baru dan ditangani di OpenSSL 3.0.7.
CVE-2022-3602 dapat dieksploitasi untuk menyebabkan crash atau eksekusi kode jarak jauh (RCE), sementara CVE-2022-3786 dapat digunakan oleh aktor ancaman melalui alamat email berbahaya untuk memicu status penolakan layanan.
“Kami masih menganggap masalah ini sebagai kerentanan serius dan pengguna yang terpengaruh didorong untuk meningkatkan sesegera mungkin,” kata tim OpenSSL dalam sebuah pernyataan Selasa.
“Kami tidak mengetahui adanya eksploitasi kerja yang dapat menyebabkan eksekusi kode jarak jauh, dan kami tidak memiliki bukti masalah ini dieksploitasi pada saat rilis posting ini,” tambahnya.
Menurut OpenSSL's kebijakan keamanan, perusahaan (seperti ExpressVPN) dan admin TI adalah memperingatkan minggu lalu untuk mencari kerentanan di lingkungan mereka dan bersiap untuk menambalnya setelah OpenSSL 3.0.7 dirilis.
“Jika Anda tahu sebelumnya di mana Anda menggunakan OpenSSL 3.0+ dan bagaimana Anda menggunakannya, maka ketika nasihat datang, Anda akan dapat dengan cepat menentukan apakah atau bagaimana Anda terpengaruh dan apa yang perlu Anda tambal,” tersebut Pendiri OpenSSL Mark J Cox dalam posting Twitter.
OpenSSL juga menyediakan langkah-langkah mitigasi yang mengharuskan admin yang mengoperasikan server Transport Layer Security (TLS) untuk menonaktifkan otentikasi klien TLS hingga patch diterapkan.
Dampak dari kerentanan jauh lebih terbatas daripada yang diperkirakan sebelumnya mengingat bahwa CVE-2022-3602 diturunkan dari kritis ke tingkat keparahan tinggi dan hanya berdampak pada OpenSSL 3.0 dan instance yang lebih baru.
Per perusahaan keamanan cloud Wiz.io, hanya 1.5% dari semua instans OpenSSL yang ditemukan terpengaruh oleh kelemahan keamanan setelah menganalisis penerapan di seluruh lingkungan cloud utama (termasuk, AWS, GCP, Azure, OCI, dan Alibaba Cloud).
Pusat Keamanan Siber Nasional Belanda juga membagikan daftar produk perangkat lunak yang dikonfirmasi untuk tetap tidak terpengaruh oleh kerentanan OpenSSL.
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- Kaspersky
- malware
- mcafe
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- Detektif Keamanan
- VPN
- website security
- zephyrnet.dll
