Колин Тьерри
Проект OpenSSL недавно устранил две серьезные уязвимости безопасности в своей криптографической библиотеке с открытым исходным кодом, используемой для шифрования каналов связи и HTTPS-соединений.
Эти уязвимости (CVE-2022-3602 и CVE-2022-3786) влияют на OpenSSL версии 3.0.0 и выше и были устранены в OpenSSL 3.0.7.
CVE-2022-3602 может быть использована для вызова сбоев или удаленного выполнения кода (RCE), а CVE-2022-3786 может использоваться злоумышленниками через вредоносные адреса электронной почты для запуска состояния отказа в обслуживании.
«Мы по-прежнему считаем эти проблемы серьезными уязвимостями, и пострадавшим пользователям рекомендуется обновиться как можно скорее», — говорится в сообщении команды OpenSSL. заявление во вторник.
«Нам неизвестно ни о каком работающем эксплойте, который мог бы привести к удаленному выполнению кода, и у нас нет доказательств использования этих проблем на момент публикации этого поста», — добавил он.
Согласно OpenSSL политика безопасности, компании (как ExpressVPN) и ИТ-администраторы были предупреждал на прошлой неделе, чтобы найти в своих средах уязвимости и подготовиться к их исправлению после выпуска OpenSSL 3.0.7.
«Если вы заранее знаете, где вы используете OpenSSL 3.0+ и как вы его используете, то, когда придет уведомление, вы сможете быстро определить, влияет ли оно на вас и каким образом, и что вам нужно исправить», — сказал Основатель OpenSSL Марк Дж. Кокс в своем посте в Twitter.
OpenSSL также предоставил меры по смягчению последствий, требующие от администраторов, работающих с серверами Transport Layer Security (TLS), отключать аутентификацию клиентов TLS до тех пор, пока не будут применены исправления.
Влияние уязвимостей было гораздо более ограниченным, чем предполагалось изначально, учитывая, что CVE-2022-3602 был понижен с критического до высокого уровня серьезности и влияет только на экземпляры OpenSSL 3.0 и более поздних версий.
На фирму по обеспечению облачной безопасности Wiz.io, после анализа развертываний в основных облачных средах (включая AWS, GCP, Azure, OCI и Alibaba Cloud) было обнаружено, что только 1.5% всех экземпляров OpenSSL подвержены уязвимости безопасности.
Национальный центр кибербезопасности Нидерландов также поделился список подтверждено, что программные продукты не подвержены уязвимости OpenSSL.
- блокчейн
- Coingenius
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- Детективы безопасности
- VPN
- безопасности веб-сайтов
- зефирнет