Colin Thierry
Pubblicato il: 2 Novembre 2022
Il progetto OpenSSL ha recentemente corretto due falle di sicurezza ad alta gravità nella sua libreria crittografica open source utilizzata per crittografare i canali di comunicazione e le connessioni HTTPS.
Queste vulnerabilità (CVE-2022-3602 e CVE-2022-3786) influiscono su OpenSSL versione 3.0.0 e successive e sono stati affrontati in OpenSSL 3.0.7.
CVE-2022-3602 può essere sfruttato per causare arresti anomali o esecuzione di codice remoto (RCE), mentre CVE-2022-3786 può essere utilizzato da attori delle minacce tramite indirizzi e-mail dannosi per attivare uno stato di negazione del servizio.
"Riteniamo ancora che questi problemi siano gravi vulnerabilità e gli utenti interessati sono incoraggiati a eseguire l'aggiornamento il prima possibile", ha affermato il team di OpenSSL in un dichiarazione il Martedì.
"Non siamo a conoscenza di alcun exploit funzionante che potrebbe portare all'esecuzione di codice in remoto e non abbiamo prove che questi problemi vengano sfruttati al momento del rilascio di questo post", ha aggiunto.
Secondo OpenSSL politica di sicurezza, aziende (come ExpressVPN) e gli amministratori IT erano avvertito la scorsa settimana per cercare le vulnerabilità nei loro ambienti e prepararsi a correggerli una volta che OpenSSL 3.0.7 è stato rilasciato.
"Se sai in anticipo dove stai utilizzando OpenSSL 3.0+ e come lo stai utilizzando, quando arriverà l'avviso sarai in grado di determinare rapidamente se o come sei interessato e cosa devi correggere", disse Il fondatore di OpenSSL Mark J Cox in un post su Twitter.
OpenSSL ha anche fornito misure di mitigazione che richiedono agli amministratori che utilizzano i server Transport Layer Security (TLS) di disabilitare l'autenticazione del client TLS fino all'applicazione delle patch.
L'impatto delle vulnerabilità è stato molto più limitato di quanto si pensasse inizialmente, dato che CVE-2022-3602 è stato declassato da critico a livello di gravità elevata e ha un impatto solo su OpenSSL 3.0 e successive.
Per azienda di sicurezza cloud Wiz.io, solo l'1.5% di tutte le istanze OpenSSL è stato colpito dal difetto di sicurezza dopo aver analizzato le distribuzioni nei principali ambienti cloud (tra cui AWS, GCP, Azure, OCI e Alibaba Cloud).
Anche il National Cyber Security Center dei Paesi Bassi ha condiviso a stratagemma di prodotti software confermati non interessati dalla vulnerabilità OpenSSL.
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- Detective della sicurezza
- VPN
- sicurezza del sito Web
- zefiro