Colin Thierry
Publicado em: 2 de novembro de 2022
O Projeto OpenSSL corrigiu recentemente duas falhas de segurança de alta gravidade em sua biblioteca criptográfica de código aberto usada para criptografar canais de comunicação e conexões HTTPS.
Essas vulnerabilidades (CVE-2022-3602 e CVE-2022-3786) impactam o OpenSSL versão 3.0.0 e posterior e foram abordados no OpenSSL 3.0.7.
O CVE-2022-3602 pode ser explorado para causar falhas ou execução remota de código (RCE), enquanto o CVE-2022-3786 pode ser utilizado por agentes de ameaças por meio de endereços de e-mail maliciosos para desencadear um estado de negação de serviço.
“Ainda consideramos esses problemas como vulnerabilidades sérias e os usuários afetados são incentivados a atualizar o mais rápido possível”, disse a equipe do OpenSSL em um comunicado. afirmação na terça-feira.
“Não temos conhecimento de nenhuma exploração de trabalho que possa levar à execução remota de código e não temos evidências de que esses problemas sejam explorados no momento do lançamento deste post”, acrescentou.
De acordo com o OpenSSL política de segurança, empresas (como ExpressVPN) e os administradores de TI foram advertido na semana passada para pesquisar vulnerabilidades em seus ambientes e se preparar para corrigi-los assim que o OpenSSL 3.0.7 for lançado.
“Se você souber com antecedência onde está usando o OpenSSL 3.0+ e como o está usando, quando o aviso chegar, você poderá determinar rapidamente se ou como você é afetado e o que precisa corrigir.” dito Mark J Cox, fundador do OpenSSL, em um post no Twitter.
O OpenSSL também forneceu medidas de mitigação exigindo que os administradores que operam servidores Transport Layer Security (TLS) desabilitassem a autenticação do cliente TLS até que os patches fossem aplicados.
O impacto das vulnerabilidades foi muito mais limitado do que se pensava inicialmente, uma vez que o CVE-2022-3602 foi rebaixado de crítico para de alta gravidade e afeta apenas o OpenSSL 3.0 e instâncias posteriores.
Por empresa de segurança na nuvem Wiz.io, apenas 1.5% de todas as instâncias do OpenSSL foram afetadas pela falha de segurança após analisar as implantações nos principais ambientes de nuvem (incluindo AWS, GCP, Azure, OCI e Alibaba Cloud).
O Centro Nacional de Segurança Cibernética da Holanda também compartilhou um Lista de produtos de software confirmados como não afetados pela vulnerabilidade OpenSSL.
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- Detetives de Segurança
- VPN
- a segurança do website
- zefirnet
