Colin Thierry
Được đăng trên: Tháng Mười Một 2, 2022
Dự án OpenSSL gần đây đã vá hai lỗi bảo mật mức độ nghiêm trọng cao trong thư viện mật mã nguồn mở được sử dụng để mã hóa các kênh liên lạc và kết nối HTTPS.
Các lỗ hổng này (CVE-2022-3602 và CVE-2022-3786) tác động đến phiên bản OpenSSL 3.0.0 trở lên và đã được giải quyết trong OpenSSL 3.0.7.
CVE-2022-3602 có thể bị lợi dụng để gây ra sự cố hoặc thực thi mã từ xa (RCE), trong khi CVE-2022-3786 có thể bị các tác nhân đe dọa sử dụng thông qua các địa chỉ email độc hại để kích hoạt trạng thái từ chối dịch vụ.
“Chúng tôi vẫn coi những vấn đề này là lỗ hổng nghiêm trọng và người dùng bị ảnh hưởng được khuyến khích nâng cấp càng sớm càng tốt,” nhóm OpenSSL cho biết trong một tuyên bố hôm thứ Ba.
“Chúng tôi không biết về bất kỳ hoạt động khai thác nào có thể dẫn đến việc thực thi mã từ xa và chúng tôi không có bằng chứng về việc những vấn đề này được khai thác vào thời điểm phát hành bài đăng này,” nó nói thêm.
Theo OpenSSL's chính sách bảo mật, các công ty (như ExpressVPN) và quản trị viên CNTT là cảnh báo tuần trước để tìm kiếm các lỗ hổng trong môi trường của họ và chuẩn bị vá chúng sau khi OpenSSL 3.0.7 được phát hành.
“Nếu bạn biết trước nơi bạn đang sử dụng OpenSSL 3.0+ và cách bạn đang sử dụng nó thì khi có lời khuyên, bạn sẽ có thể nhanh chóng xác định xem bạn có bị ảnh hưởng hay không và bạn cần vá những gì”. nói Người sáng lập OpenSSL, Mark J Cox trong một bài đăng trên Twitter.
OpenSSL cũng cung cấp các biện pháp giảm thiểu yêu cầu quản trị viên vận hành máy chủ Bảo mật tầng truyền tải (TLS) vô hiệu hóa xác thực máy khách TLS cho đến khi áp dụng các bản vá.
Tác động của các lỗ hổng hạn chế hơn nhiều so với suy nghĩ ban đầu vì CVE-2022-3602 đã bị hạ cấp từ mức độ nghiêm trọng xuống mức độ nghiêm trọng cao và chỉ ảnh hưởng đến OpenSSL 3.0 và các phiên bản mới hơn.
Theo công ty bảo mật đám mây Wiz.io, chỉ 1.5% trong số tất cả các phiên bản OpenSSL được phát hiện là bị ảnh hưởng bởi lỗi bảo mật sau khi phân tích việc triển khai trên các môi trường đám mây chính (bao gồm AWS, GCP, Azure, OCI và Alibaba Cloud).
Trung tâm An ninh mạng Quốc gia của Hà Lan cũng chia sẻ một của các sản phẩm phần mềm được xác nhận là không bị ảnh hưởng bởi lỗ hổng OpenSSL.
