Ошибки приводят к состоянию DoS и удаленному выполнению кода.
Проект OpenSSL выпустил исправления для двух опасных уязвимостей, которые могут привести к отказу в обслуживании (RCE).
Проблемы, отслеживаемые как CVE-2022-3602 и CVE-2022-3786, были описаны как уязвимости переполнения буфера, которые могут быть вызваны во время проверки сертификата X.509 путем предоставления специально созданного адреса электронной почты.
Согласно сообщению OpenSSL , в случае с CVE-2022-3786 в TLS-клиенте это может быть вызвано подключением к вредоносному серверу. На TLS-сервере ошибка происходит, когда сервер запрашивает аутентификацию, и подключается вредоносный клиент.
OpenSSL – это криптографическая библиотека, которая является open source реализацией двух протоколов: Secure Sockets Layer (SSL) и Transport Layer Security (TLS), которые используются для безопасной связи. OpenSSL встроена в несколько операционных систем и широкий спектр ПО.
Уязвимостям подвержены версии библиотеки с 3.0.0 по 3.0.6, но ошибки были устранены в версии 3.0.7. OpenSSL призвал затронутых пользователей обновиться как можно скорее.
Согласно данным Censys, по состоянию на 30 октября около 7062 хостов используют уязвимую версию OpenSSL, причем большинство из них находится в США, Германии, Японии, Китае, Чехии, Великобритании, Франции, России, Канаде и Нидерландах. OpenSSL версии 3.0 поставляется в комплекте с разновидностями Linux, такими как Ubuntu 22.04 LTS, CentOS, Fedora 36 и другими. Также затронуты образы контейнеров, созданные с использованием уязвимых версий Linux.
Более того, платформа Docker предупредила , что около 1000 репозиториев образов могут быть затронуты в различных официальных образах Docker и образах проверенных издателей Docker.
ИБ-компания SentinelOne заявила , что уязвимость в программной библиотеке, такой как OpenSSL, которая так широко используется и так важна для безопасности данных в Интернете, — это та уязвимость, которую ни одна организация не может позволить себе игнорировать.
