Colin Thierry
Publicat în data de: Noiembrie 2, 2022
Proiectul OpenSSL a corectat recent două defecte de securitate de mare severitate în biblioteca sa criptografică open-source, folosită pentru a cripta canalele de comunicare și conexiunile HTTPS.
Aceste vulnerabilitati (CVE-2022-3602 și CVE-2022-3786) au impact asupra OpenSSL versiunea 3.0.0 și ulterioară și au fost abordate în OpenSSL 3.0.7.
CVE-2022-3602 poate fi exploatat pentru a provoca blocări sau execuție de cod la distanță (RCE), în timp ce CVE-2022-3786 poate fi utilizat de către actorii amenințărilor prin adrese de e-mail rău intenționate pentru a declanșa o stare de refuzare a serviciului.
„Considerăm în continuare aceste probleme ca fiind vulnerabilități grave și utilizatorii afectați sunt încurajați să facă upgrade cât mai curând posibil”, a spus echipa OpenSSL într-un declaraţie marti.
„Nu suntem conștienți de vreo exploatare de lucru care ar putea duce la execuția de cod de la distanță și nu avem dovezi că aceste probleme ar fi exploatate la momentul lansării acestei postări”, a adăugat acesta.
Potrivit lui OpenSSL politică de securitate, companii (cum ar fi ExpressVPN) și administratorii IT au fost a avertizat săptămâna trecută să caute în mediile lor vulnerabilități și să se pregătească să le corecteze după lansarea OpenSSL 3.0.7.
„Dacă știți dinainte unde utilizați OpenSSL 3.0+ și cum îl utilizați, atunci când va veni avizul, veți putea determina rapid dacă sau cum sunteți afectat și ce trebuie să corectați.” a spus Fondatorul OpenSSL, Mark J Cox, într-o postare pe Twitter.
OpenSSL a furnizat, de asemenea, măsuri de atenuare prin care administratorii care operează servere Transport Layer Security (TLS) să dezactiveze autentificarea clientului TLS până când patch-urile au fost aplicate.
Impactul vulnerabilităților a fost mult mai limitat decât s-a crezut inițial, având în vedere că CVE-2022-3602 a fost retrogradat de la critic la grav și afectează doar OpenSSL 3.0 și instanțele ulterioare.
Per firmă de securitate în cloud Wiz.io, doar 1.5% din toate instanțele OpenSSL s-au dovedit a fi afectate de defectul de securitate după analizarea implementărilor în medii cloud majore (inclusiv, AWS, GCP, Azure, OCI și Alibaba Cloud).
Centrul Național de Securitate Cibernetică din Țările de Jos a distribuit și un listă dintre produsele software confirmate că nu sunt afectate de vulnerabilitatea OpenSSL.
- blockchain
- coingenius
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- Detectivi de siguranță
- VPN
- securitatea site-ului
- zephyrnet
