Colina Thierry'ego
Opublikowany: Listopad 2, 2022
Projekt OpenSSL niedawno załatał dwie luki bezpieczeństwa o wysokim stopniu ważności w swojej bibliotece kryptograficznej typu open source, używanej do szyfrowania kanałów komunikacyjnych i połączeń HTTPS.
Te luki (CVE-2022-3602 i CVE-2022-3786) mają wpływ na OpenSSL w wersji 3.0.0 i nowszych oraz zostały rozwiązane w OpenSSL 3.0.7.
CVE-2022-3602 może być wykorzystywany do powodowania awarii lub zdalnego wykonania kodu (RCE), podczas gdy CVE-2022-3786 może być wykorzystywany przez cyberprzestępców za pośrednictwem złośliwych adresów e-mail do wyzwalania stanu odmowy usługi.
„Nadal uważamy te problemy za poważne luki w zabezpieczeniach, a dotkniętych nimi użytkowników zachęca się do jak najszybszej aktualizacji” – powiedział zespół OpenSSL w oświadczenie we wtorek.
„Nie znamy żadnego działającego exploita, który mógłby prowadzić do zdalnego wykonania kodu, i nie mamy dowodów na to, że te problemy były wykorzystywane w momencie opublikowania tego posta” – dodał.
Według OpenSSL Polityka bezpieczeństwa, firmy (jak ExpressVPN) i administratorami IT byli ostrzeżony w zeszłym tygodniu, aby przeszukać swoje środowiska pod kątem luk w zabezpieczeniach i przygotować się do ich załatania po wydaniu OpenSSL 3.0.7.
„Jeśli wiesz z góry, gdzie używasz OpenSSL 3.0+ i jak go używasz, wtedy gdy pojawi się porada, będziesz w stanie szybko określić, czy i w jaki sposób to dotyczy i co musisz naprawić” powiedziany Założyciel OpenSSL Mark J Cox w poście na Twitterze.
OpenSSL zapewnił również środki zaradcze wymagające od administratorów obsługujących serwery Transport Layer Security (TLS) wyłączenia uwierzytelniania klienta TLS do czasu zastosowania poprawek.
Wpływ luk był znacznie bardziej ograniczony, niż początkowo sądzono, biorąc pod uwagę, że CVE-2022-3602 został obniżony z krytycznego do wysokiego i dotyczy tylko OpenSSL 3.0 i nowszych instancji.
Na firmę zajmującą się bezpieczeństwem w chmurze Wiz.io, po przeanalizowaniu wdrożeń w głównych środowiskach chmurowych (w tym AWS, GCP, Azure, OCI i Alibaba Cloud) stwierdzono, że tylko 1.5% wszystkich wystąpień OpenSSL jest dotkniętych luką w zabezpieczeniach.
Holenderskie Narodowe Centrum Bezpieczeństwa Cybernetycznego również podzieliło się podstęp oprogramowania, co do którego potwierdzono, że nie ma wpływu luka OpenSSL.
- blockchain
- pomysłowość
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- Detektywi bezpieczeństwa
- VPN
- zabezpieczenia stron internetowych
- zefirnet
