Το OpenSSL διόρθωσε δύο ελαττώματα ασφαλείας υψηλής σοβαρότητας στην κρυπτογραφική βιβλιοθήκη ανοικτού κώδικα που χρησιμοποιείται για την κρυπτογράφηση καναλιών επικοινωνίας και συνδέσεων HTTPS.
Δείτε επίσης: Το OpenSSL κυκλοφορεί patch για σφάλμα υψηλής σοβαρότητας
Αυτές οι δύο ευπάθειες, CVE-2022-3602 και CVE-2022-3786, επηρεάζουν μόνο τους χρήστες του OpenSSL 3.0.0 και μεταγενέστερες εκδόσεις. Ωστόσο, έχουν αντιμετωπιστεί και στην τελευταία ενημέρωση του OpenSSL στην έκδοση 3.0.7.
Το CVE-2022-3602 είναι ένα πρόβλημα υπερχείλισης buffer που θα μπορούσε να επιτρέψει απομακρυσμένη εκτέλεση κώδικα ή συντριβή, ενώ το CVE-2022-3786 μπορεί να αξιοποιηθεί από έναν εισβολέα μέσω κακόβουλων διευθύνσεων ηλεκτρονικού ταχυδρομείου για να προκαλέσει άρνηση παροχής υπηρεσιών μέσω υπερχείλισης buffer.
Σύμφωνα με την ομάδα του OpenSSL, “εξακολουθούμε να θεωρούμε ότι αυτά τα ζητήματα είναι σοβαρές ευπάθειες και οι χρήστες που επηρεάζονται ενθαρρύνονται να αναβαθμίσουν το συντομότερο δυνατό“.
Δείτε ακόμα: Microsoft Patch Tuesday Οκτωβρίου 2022: Διορθώνει 84 ευπάθειες
Σύμφωνα με την πολιτική του Open SSL, οι οργανισμοί και οι διαχειριστές πληροφορικής προειδοποιήθηκαν στις 25 Οκτωβρίου να ελέγξουν τα συστήματά τους για τυχόν ευάλωτες περιπτώσεις, ώστε να μπορούν να διορθωθούν όταν κυκλοφορήσει το OpenSSL 3.0.7.
Το OpenSSL έχει επίσης παράσχει στους διαχειριστές διακομιστών TLS διορθώσεις προς εφαρμογή, που θα απενεργοποιήσουν τον έλεγχο ταυτότητας του πελάτη TLS.
Παρόλο που η αρχική προειδοποίηση ανάγκασε τους διαχειριστές να αναλάβουν αμέσως δράση για να μειώσουν το ελάττωμα, η υποβάθμιση του CVE-2022-3602 (το οποίο είχε αρχικά αξιολογηθεί ως κρίσιμο) σε υψηλής σοβαρότητας περιορίζει τον πραγματικό αντίκτυπό του. Το OpenSSL 3.0 και μεταγενέστερες εκδόσεις επηρεάζονται μόνο από αυτό το ζήτημα ασφαλείας.
Επειδή αυτές οι εκδόσεις μόλις κυκλοφόρησαν, δεν έχουν εφαρμοστεί σε λογισμικό που χρησιμοποιείται για την παραγωγή όσο οι παλαιότερες εκδόσεις της βιβλιοθήκης OpenSSL.
Δείτε επίσης: ΗΠΑ: Οι top ευπάθειες που χρησιμοποιούν οι Κινέζοι hackers στις επιθέσεις τους
Ορισμένοι προμηθευτές και ειδικοί σε θέματα ασφάλειας εξισώνουν την ευπάθεια με το σφάλμα Log4Shell. Ωστόσο, αυτή επηρεάζει μόνο περίπου 7.000 συστήματα σε σύνολο 1.793.000 κεντρικών υπολογιστών – κάτι που είναι σημαντικά λιγότερο από άλλες περιπτώσεις OpenSSL που είναι προσβάσιμες από το κοινό.
Η Wiz.io διαπίστωσε ότι μόνο το 1,5% όλων των περιπτώσεων OpenSSL επηρεάστηκε από αυτό το ελάττωμα ασφαλείας.
