OpenSSL-oppdateringer to sikkerhetssårbarheter med høy alvorlighet

Publisert på: November 2, 2022

OpenSSL-prosjektet lappet nylig to alvorlige sikkerhetsfeil i det kryptografiske biblioteket med åpen kildekode som brukes til å kryptere kommunikasjonskanaler og HTTPS-tilkoblinger.

Disse sårbarhetene (CVE-2022-3602 og CVE-2022-3786) påvirket OpenSSL versjon 3.0.0 og nyere og ble adressert i OpenSSL 3.0.7.

CVE-2022-3602 kan utnyttes til å forårsake krasj eller ekstern kjøring av kode (RCE), mens CVE-2022-3786 kan brukes av trusselaktører gjennom ondsinnede e-postadresser for å utløse en tjenestenekt-tilstand.

"Vi anser fortsatt disse problemene for å være alvorlige sårbarheter, og berørte brukere oppfordres til å oppgradere så snart som mulig," sa OpenSSL-teamet i en uttalelse på tirsdag.

"Vi er ikke klar over noen fungerende utnyttelse som kan føre til ekstern kjøring av kode, og vi har ingen bevis for at disse problemene ble utnyttet på tidspunktet for utgivelsen av dette innlegget," la det til.

I følge OpenSSL sikkerhetspolitikk, selskaper (som ExpressVPN) og IT-administratorer var advarte forrige uke for å søke i miljøene deres for sårbarheter og forberede seg på å lappe dem når OpenSSL 3.0.7 ble utgitt.

"Hvis du på forhånd vet hvor du bruker OpenSSL 3.0+ og hvordan du bruker det, vil du raskt kunne finne ut om eller hvordan du er berørt og hva du trenger å lappe når meldingen kommer," sa OpenSSL-grunnlegger Mark J Cox i et Twitter-innlegg.

OpenSSL ga også avbøtende tiltak som krever at administratorer som driver Transport Layer Security-servere (TLS) deaktiverer TLS-klientautentisering til oppdateringene ble brukt.

Effekten av sårbarhetene var mye mer begrenset enn først antatt gitt at CVE-2022-3602 ble nedgradert fra kritisk til høy alvorlighetsgrad og bare påvirker OpenSSL 3.0 og senere forekomster.

Per skysikkerhetsfirma Wiz.io, ble bare 1.5 % av alle OpenSSL-forekomster funnet å være påvirket av sikkerhetsfeilen etter å ha analysert distribusjoner på tvers av store skymiljøer (inkludert AWS, GCP, Azure, OCI og Alibaba Cloud).

Nederlandens nasjonale cybersikkerhetssenter delte også en liste av programvareprodukter som er bekreftet å forbli ikke påvirket av OpenSSL-sårbarheten.