• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости 2 новых опасных уязвимости в OpenSSL ставят под угрозу более 7000 хостов

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 6ч 11м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Проект OpenSSL выпустил исправления для двух опасных уязвимостей, которые могут привести к отказу в обслуживании (DoS) и удаленному выполнению кода (RCE).

Проблемы, отслеживаемые как CVE-2022-3602 и CVE-2022-3786, были описаны как уязвимости переполнения буфера, которые могут быть вызваны во время проверки сертификата X.509 путем предоставления специально созданного адреса электронной почты.

Согласно сообщению OpenSSL , в случае с CVE-2022-3786 в TLS-клиенте это может быть вызвано подключением к вредоносному серверу. На TLS-сервере ошибка происходит, когда сервер запрашивает аутентификацию, и подключается вредоносный клиент.

OpenSSL – это криптографическая библиотека, которая является open source реализацией двух протоколов: Secure Sockets Layer (SSL) и Transport Layer Security (TLS), которые используются для безопасной связи. OpenSSL встроена в несколько операционных систем и широкий спектр ПО.

Уязвимостям подвержены версии библиотеки с 3.0.0 по 3.0.6, но ошибки были устранены в версии 3.0.7. OpenSSL призвал затронутых пользователей обновиться как можно скорее.

Согласно данным Censys, по состоянию на 30 октября около 7062 хостов используют уязвимую версию OpenSSL, причем большинство из них находится в США, Германии, Японии, Китае, Чехии, Великобритании, Франции, России, Канаде и Нидерландах. OpenSSL версии 3.0 поставляется в комплекте с разновидностями Linux, такими как Ubuntu 22.04 LTS, CentOS, Fedora 36 и другими. Также затронуты образы контейнеров, созданные с использованием уязвимых версий Linux.

Более того, платформа Docker предупредила , что около 1000 репозиториев образов могут быть затронуты в различных официальных образах Docker и образах проверенных издателей Docker.

ИБ-компания SentinelOne заявила , что уязвимость в программной библиотеке, такой как OpenSSL, которая так широко используется и так важна для безопасности данных в Интернете, — это та уязвимость, которую ни одна организация не может позволить себе игнорировать.
 
Сверху