Colin Thierry
Publicerad på: November 2, 2022
OpenSSL-projektet korrigerade nyligen två allvarliga säkerhetsbrister i sitt kryptografiska bibliotek med öppen källkod som används för att kryptera kommunikationskanaler och HTTPS-anslutningar.
Dessa sårbarheter (CVE-2022-3602 och CVE-2022-3786) påverkar OpenSSL version 3.0.0 och senare och behandlades i OpenSSL 3.0.7.
CVE-2022-3602 kan utnyttjas för att orsaka krascher eller fjärrkörning av kod (RCE), medan CVE-2022-3786 kan användas av hotaktörer genom skadliga e-postadresser för att utlösa ett överbelastningstillstånd.
"Vi betraktar fortfarande dessa problem som allvarliga sårbarheter och berörda användare uppmuntras att uppgradera så snart som möjligt," sa OpenSSL-teamet i en meddelandet på tisdag.
"Vi är inte medvetna om någon fungerande exploatering som kan leda till fjärrexekvering av kod, och vi har inga bevis för att dessa problem har utnyttjats vid tidpunkten för utgivningen av detta inlägg," tillade det.
Enligt OpenSSL säkerhetspolicy, företag (som ExpressVPN) och IT-administratörer var varnade förra veckan för att söka i sina miljöer efter sårbarheter och förbereda sig på att korrigera dem när OpenSSL 3.0.7 släpptes.
"Om du i förväg vet var du använder OpenSSL 3.0+ och hur du använder det så när rådgivandet kommer kommer du snabbt att kunna avgöra om eller hur du påverkas och vad du behöver korrigera," sade OpenSSL-grundaren Mark J Cox i ett Twitter-inlägg.
OpenSSL tillhandahöll också begränsningsåtgärder som kräver att administratörer som använder TLS-servrar (Transport Layer Security) inaktiverar TLS-klientautentisering tills korrigeringarna har applicerats.
Effekten av sårbarheterna var mycket mer begränsad än man först trodde med tanke på att CVE-2022-3602 nedgraderades från kritisk till hög allvarlighetsgrad och endast påverkar OpenSSL 3.0 och senare instanser.
Per molnsäkerhetsföretag Wiz.io, visade sig endast 1.5 % av alla OpenSSL-instanser vara påverkade av säkerhetsbristen efter att ha analyserat distributioner över stora molnmiljöer (inklusive AWS, GCP, Azure, OCI och Alibaba Cloud).
Nederländernas nationella cybersäkerhetscenter delade också en lista av mjukvaruprodukter som bekräftats förbli inte påverkade av OpenSSL-sårbarheten.
