• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости OpenSSL устранила ошибку раскрытия памяти, обновить ПО нужно как можно скорее

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Разработчики OpenSSL выпустили исправления для целого ряда уязвимостей, включая серьезную ошибку в инструментарии шифрования. Данная ошибка потенциально могла подвергнуть пользователей вредоносным атакам.

Уязвимость CVE-2023-0286 относится к разновидности «Type Confusion» («путаница типов»), которая может позволить злоумышленнику считывать содержимое памяти или вызывать отказ в обслуживании», — говорится в сообщении представителей OpenSSL.

«В большинстве случаев атака требует, чтобы злоумышленник предоставил как цепочку сертификатов, так и CRL, ни один из которых не должен иметь действительной подписи. Если злоумышленник контролирует только один из этих входов, другой вход должен уже содержать адрес X.400 в качестве точки распространения CRL», — добавили в OpenSSL.
Ошибки, связанные с путаницей типов, могут иметь серьезные последствия, поскольку их можно использовать для преднамеренного принудительного поведения программы непреднамеренным образом, что может привести к сбою или выполнению вредоносного кода.

Проблема была исправлена в версиях OpenSSL 3.0.8, 1.1.1t и 1.0.2zg. Другие уязвимости, устраненные в рамках последних обновлений, включают: CVE-2022-4203 , CVE-2022-4304 , CVE-2022-4450 , CVE-2023-0215 , CVE-2023-0216 , CVE-2023-0217 , CVE-2023-0401.

Успешное использование вышеуказанных уязвимостей может привести к сбою приложения, раскрытию содержимого памяти и даже восстановлению сообщений, отправленных по сети открытым текстом.

Также в начале недели мы сообщали об исправлении другой критической уязвимости, затронувшей OpenSSH, под идентификатором CVE-2023-25136. Несмотря на внушительный рейтинг CVSS 9,1 из 10, исследователи безопасности сообщили, что процесс эксплуатации уязвимости слишком затруднён для активного использования.

Всем пользователям данных продуктов рекомендуется как можно быстрее обновиться до последней версии, чтобы минимизировать любые риски.
 
Сверху