OpenSSL remediază două vulnerabilități cu un grad ridicat severitate
OpenSSL Project a remediat două vulnerabilități cu grad ridicat de severitate în biblioteca sa criptografică open-source utilizată pentru criptarea canalelor de comunicare și a conexiunilor HTTPS.
Vulnerabilitățile, cunoscute ca CVE-2022-3602 și CVE-2022-3786, afectează OpenSSL versiunea 3.0.0 și versiunile ulterioare și au fost remediate în OpenSSL 3.0.7.
CVE-2022-3602 reprezintă arbitrary buffer overflow de 4 octeți din stivă care ar putea declanșa blocaje sau ar putea duce la executarea de cod de la distanță (RCE), în timp ce CVE-2022-3786 poate fi exploatată de persoane rău intenționate prin intermediul unor adrese de e-mail malițioase pentru a declanșa atacuri de tip denial of service prin buffer overflow.
Conform politicii Open SSL, organizațiile și administratorii IT au fost avertizați să caute în infrastructurile lor dacă au produse vulnerabile și să implementeze patch-uri atunci când OpenSSL 3.0.7 va fi lansat.
OpenSSL oferă, de asemenea, măsuri de atenuare iar administratorii serverelor TLS trebuie să dezactiveze autentificarea clienților TLS până la aplicarea patch-urilor.
Impactul real este mult mai limitat, având în vedere că CVE-2022-3602 (evaluat inițial ca fiind critic) a fost reevaluat la gravitate ridicată și afectează doar OpenSSL 3.0 și instanțele ulterioare.
Cele mai recente versiuni OpenSSL sunt incluse în cele mai recente versiuni ale mai multor distribuții Linux populare precum Redhat Enterprise Linux 9, Ubuntu 22.04+, CentOS Stream9, Kali 2022.3, Debian 12 și Fedora 36 și sunt cunoscute ca fiind vulnerabile de către compania de securitate cibernetică Akamai.
Sursă: https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/
