- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 6ч 11м
- Сделки
- 251
- Нарушения
- 0 / 0
Проблемы, отслеживаемые как CVE-2022-3602 и CVE-2022-3786, были описаны как уязвимости переполнения буфера, которые могут быть вызваны во время проверки сертификата X.509 путем предоставления специально созданного адреса электронной почты.
Согласно сообщению OpenSSL , в случае с CVE-2022-3786 в TLS-клиенте это может быть вызвано подключением к вредоносному серверу. На TLS-сервере ошибка происходит, когда сервер запрашивает аутентификацию, и подключается вредоносный клиент.
OpenSSL – это криптографическая библиотека, которая является open source реализацией двух протоколов: Secure Sockets Layer (SSL) и Transport Layer Security (TLS), которые используются для безопасной связи. OpenSSL встроена в несколько операционных систем и широкий спектр ПО.
Уязвимостям подвержены версии библиотеки с 3.0.0 по 3.0.6, но ошибки были устранены в версии 3.0.7. OpenSSL призвал затронутых пользователей обновиться как можно скорее.
Согласно данным Censys, по состоянию на 30 октября около 7062 хостов используют уязвимую версию OpenSSL, причем большинство из них находится в США, Германии, Японии, Китае, Чехии, Великобритании, Франции, России, Канаде и Нидерландах. OpenSSL версии 3.0 поставляется в комплекте с разновидностями Linux, такими как Ubuntu 22.04 LTS, CentOS, Fedora 36 и другими. Также затронуты образы контейнеров, созданные с использованием уязвимых версий Linux.
Более того, платформа Docker предупредила , что около 1000 репозиториев образов могут быть затронуты в различных официальных образах Docker и образах проверенных издателей Docker.
ИБ-компания SentinelOne заявила , что уязвимость в программной библиотеке, такой как OpenSSL, которая так широко используется и так важна для безопасности данных в Интернете, — это та уязвимость, которую ни одна организация не может позволить себе игнорировать.