- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
Уязвимость CVE-2023-0286 относится к разновидности «Type Confusion» («путаница типов»), которая может позволить злоумышленнику считывать содержимое памяти или вызывать отказ в обслуживании», — говорится в сообщении представителей OpenSSL.
Ошибки, связанные с путаницей типов, могут иметь серьезные последствия, поскольку их можно использовать для преднамеренного принудительного поведения программы непреднамеренным образом, что может привести к сбою или выполнению вредоносного кода.«В большинстве случаев атака требует, чтобы злоумышленник предоставил как цепочку сертификатов, так и CRL, ни один из которых не должен иметь действительной подписи. Если злоумышленник контролирует только один из этих входов, другой вход должен уже содержать адрес X.400 в качестве точки распространения CRL», — добавили в OpenSSL.
Проблема была исправлена в версиях OpenSSL 3.0.8, 1.1.1t и 1.0.2zg. Другие уязвимости, устраненные в рамках последних обновлений, включают: CVE-2022-4203 , CVE-2022-4304 , CVE-2022-4450 , CVE-2023-0215 , CVE-2023-0216 , CVE-2023-0217 , CVE-2023-0401.
Успешное использование вышеуказанных уязвимостей может привести к сбою приложения, раскрытию содержимого памяти и даже восстановлению сообщений, отправленных по сети открытым текстом.
Также в начале недели мы сообщали об исправлении другой критической уязвимости, затронувшей OpenSSH, под идентификатором CVE-2023-25136. Несмотря на внушительный рейтинг CVSS 9,1 из 10, исследователи безопасности сообщили, что процесс эксплуатации уязвимости слишком затруднён для активного использования.
Всем пользователям данных продуктов рекомендуется как можно быстрее обновиться до последней версии, чтобы минимизировать любые риски.