Colin Thierry
Objavljeno dne: November 2, 2022
Projekt OpenSSL je nedavno popravil dve zelo resni varnostni napaki v svoji odprtokodni kriptografski knjižnici, ki se uporablja za šifriranje komunikacijskih kanalov in povezav HTTPS.
Te ranljivosti (CVE-2022-3602 in CVE-2022-3786) vplivajo na OpenSSL različice 3.0.0 in novejše in so bile obravnavane v OpenSSL 3.0.7.
CVE-2022-3602 je mogoče izkoristiti za povzročitev zrušitev ali oddaljenega izvajanja kode (RCE), medtem ko lahko CVE-2022-3786 uporabijo akterji groženj prek zlonamernih e-poštnih naslovov za sprožitev stanja zavrnitve storitve.
"Še vedno menimo, da so te težave resne ranljivosti in prizadete uporabnike spodbujamo, da čim prej nadgradijo," je dejala ekipa OpenSSL v Izjava v torek.
"Nismo seznanjeni z nobenim delujočim izkoriščanjem, ki bi lahko vodilo do oddaljenega izvajanja kode, in nimamo dokazov o izkoriščanju teh težav v času objave te objave," je dodal.
Glede na OpenSSL varnostna politika, podjetja (kot ExpressVPN) in IT skrbniki so bili Opozoril prejšnji teden, da bi v svojih okoljih poiskali ranljivosti in se pripravili na njihov popravek, ko bo izdan OpenSSL 3.0.7.
"Če vnaprej veste, kje uporabljate OpenSSL 3.0+ in kako ga uporabljate, boste lahko, ko boste prejeli nasvet, hitro ugotovili, ali in kako ste prizadeti in kaj morate popraviti," je dejal Ustanovitelj OpenSSL Mark J Cox v objavi na Twitterju.
OpenSSL je zagotovil tudi omilitvene ukrepe, ki od skrbnikov, ki upravljajo strežnike Transport Layer Security (TLS), zahtevajo, da onemogočijo preverjanje pristnosti odjemalca TLS, dokler niso uporabljeni popravki.
Vpliv ranljivosti je bil veliko bolj omejen, kot se je sprva mislilo, glede na to, da je bila stopnja CVE-2022-3602 znižana s kritične na visoko resno in vpliva samo na OpenSSL 3.0 in novejše primerke.
Na podjetje za varnost v oblaku Wiz.io, je bilo po analizi uvajanj v večjih oblačnih okoljih (vključno z AWS, GCP, Azure, OCI in Alibaba Cloud) ugotovljeno, da varnostna napaka vpliva le na 1.5 % vseh primerkov OpenSSL.
Nizozemski nacionalni center za kibernetsko varnost je prav tako delil a Seznam izdelkov programske opreme, za katere je bilo potrjeno, da še vedno niso prizadeti zaradi ranljivosti OpenSSL.
- blockchain
- coingenius
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- Varnostni detektivi
- VPN
- spletna varnost
- zefirnet
