Колін Тьєррі
Опубліковано: Листопад 2, 2022
Проект OpenSSL нещодавно виправив дві серйозні вади безпеки у своїй криптографічній бібліотеці з відкритим кодом, яка використовується для шифрування каналів зв’язку та з’єднань HTTPS.
Ці вразливості (CVE-2022-3602 і CVE-2022-3786) впливають на OpenSSL версії 3.0.0 і пізніших і були розглянуті в OpenSSL 3.0.7.
CVE-2022-3602 може бути використаний для спричинення збоїв або віддаленого виконання коду (RCE), тоді як CVE-2022-3786 може використовуватися загрозливими особами через шкідливі адреси електронної пошти, щоб викликати стан відмови в обслуговуванні.
«Ми все ще вважаємо ці проблеми серйозними вразливими місцями, і заохочуємо постраждалих користувачів якомога швидше оновити», — заявила команда OpenSSL у заяву у вівторок.
«Нам не відомо про будь-який робочий експлойт, який міг би призвести до віддаленого виконання коду, і у нас немає доказів використання цих проблем на момент публікації цієї публікації», — додали в ньому.
Відповідно до OpenSSL політика безпеки, компанії (як ExpressVPN) та ІТ-адміністратори попередили минулого тижня для пошуку вразливостей у своєму середовищі та підготовки до їх виправлення після випуску OpenSSL 3.0.7.
«Якщо ви заздалегідь знаєте, де ви використовуєте OpenSSL 3.0+ і як ви його використовуєте, тоді, коли надійде порада, ви зможете швидко визначити, чи це вас вплинуло на вас і як вам це потрібно виправити», сказав Засновник OpenSSL Марк Джей Кокс у дописі у Twitter.
OpenSSL також забезпечив заходи пом’якшення, які вимагали від адміністраторів, що працюють на серверах безпеки транспортного рівня (TLS), вимикати автентифікацію клієнта TLS, доки не буде застосовано виправлення.
Вплив уразливостей був набагато обмеженішим, ніж вважалося спочатку, враховуючи, що CVE-2022-3602 було знижено з критичного до високого рівня серйозності, і він впливає лише на OpenSSL 3.0 і пізніші версії.
За компанією з хмарної безпеки Wiz.io, після аналізу розгортань у основних хмарних середовищах (включно з AWS, GCP, Azure, OCI та Alibaba Cloud) лише 1.5% усіх екземплярів OpenSSL були уражені недоліком безпеки.
Національний центр кібербезпеки Нідерландів також поділився список програмних продуктів, на які підтверджено, що вразливість OpenSSL не впливає.
- blockchain
- coingenius
- крипто-валютні кошельки
- криптообмін
- кібер-безпеки
- кіберзлочинці
- Кібербезпека
- управління внутрішньої безпеки
- цифрові гаманці
- брандмауер
- Kaspersky
- шкідливих програм
- Макафі
- NexBLOC
- plato
- платон ai
- Інформація про дані Платона
- Гра Платон
- PlatoData
- platogaming
- Детективи безпеки
- VPN
- безпеки веб-сайтів
- зефірнет