×

2 новых опасных уязвимости в OpenSSL ставят под угрозу более 7000 хостов

2 новых опасных уязвимости в OpenSSL ставят под угрозу более 7000 хостов

Ошибки приводят к состоянию DoS и удаленному выполнению кода.

Проект OpenSSL выпустил исправления для двух опасных уязвимостей, которые могут привести к отказу в обслуживании (RCE).

Проблемы, отслеживаемые как CVE-2022-3602 и CVE-2022-3786, были описаны как уязвимости переполнения буфера, которые могут быть вызваны во время проверки сертификата X.509 путем предоставления специально созданного адреса электронной почты.

Согласно сообщению OpenSSL , в случае с CVE-2022-3786 в TLS-клиенте это может быть вызвано подключением к вредоносному серверу. На TLS-сервере ошибка происходит, когда сервер запрашивает аутентификацию, и подключается вредоносный клиент.

OpenSSL – это криптографическая библиотека, которая является open source реализацией двух протоколов: Secure Sockets Layer (SSL) и Transport Layer Security (TLS), которые используются для безопасной связи. OpenSSL встроена в несколько операционных систем и широкий спектр ПО.

Уязвимостям подвержены версии библиотеки с 3.0.0 по 3.0.6, но ошибки были устранены в версии 3.0.7. OpenSSL призвал затронутых пользователей обновиться как можно скорее.

Согласно данным Censys, по состоянию на 30 октября около 7062 хостов используют уязвимую версию OpenSSL, причем большинство из них находится в США, Германии, Японии, Китае, Чехии, Великобритании, Франции, России, Канаде и Нидерландах. OpenSSL версии 3.0 поставляется в комплекте с разновидностями Linux, такими как Ubuntu 22.04 LTS, CentOS, Fedora 36 и другими. Также затронуты образы контейнеров, созданные с использованием уязвимых версий Linux.

Более того, платформа Docker предупредила , что около 1000 репозиториев образов могут быть затронуты в различных официальных образах Docker и образах проверенных издателей Docker.

ИБ-компания SentinelOne заявила , что уязвимость в программной библиотеке, такой как OpenSSL, которая так широко используется и так важна для безопасности данных в Интернете, — это та уязвимость, которую ни одна организация не может позволить себе игнорировать.

Кибератака на базу данных студентов Индии приведет к массовым взломам индусов

Утечка данных студентов вынуждает повысить кибербезопасность страны.

Новая кампания социальной инженерии отбирает номера у мобильных операторов

Хакеры атакуют телекоммуникационные компании, чтобы завладеть чужим номером.

В России предложили ввести идентификацию геймеров

По мнению законодателей,  идентификация геймеров, позволит запретить несовершеннолетним играть в жестокие игры.