Skoči na vsebino

SI-CERT 2022-05 / Ranljivosti OpenSSL 3 knjižnice

Objavljeno: 2. 11. 2022

Povzetek

OpenSSL knjižnica različic 3.0.0 do 3.0.6 vsebuje ranljivosti pri preverjanjih X.509 digitalnih potrdil, ki lahko povzročijo izpad delovanja (denial of service) ali morda tudi zagon programske kode na daljavo (remote code execution). Zaenkrat še ni podatkov o izkoriščanju ranljivosti, vseeno svetujemo nadgradnjo na različico 3.0.7.

Opis

OpenSSL projekt je 1. 11. 2022 objavil varnostno opozorilo, v katerem so opisali dve različni ranljivosti, ki se pojavljata v knjižnicah različic 3.0.0 do 3.0.6. Ranljivosti CVE-2022-3602 je bila sicer najavljana kot kritična, vendar pa so po bolj natančnem pregledu stopnji znižali na visoko, saj je nekaj okoliščin, ki otežijo neposredno izrabo ranljivosti za zagon programske kode na daljavo. Iste stopnje je tudi ranljivost CVE-2022-3786, ki ima za posledico lahko izpad delovanja sistema. Več tehničnih podrobnosti je na voljo v prispevku The OpenSSL punycode vulnerability (CVE-2022-3602): Overview, detection, exploitation, and remediation podjetja DataDog Security Labs.

Ukrepi

Priporočamo takojšnjo nadgradnjo na različico 3.0.7 za sisteme, ki uporabljajo OpenSSL 3 knjižnico. Pri tem uporabite seznam ranljive programske opreme, ki ga vodi nizozemski NCSC-NL in se redno osvežuje. Na voljo so tudi recepti za iskanje ranljivih knjižnic za različne operacijske sisteme in virtualna okolja.

Povezave

Preberite tudi

SI-CERT 2023-02 / Zloraba dobavne verige: 3CX Electron DesktopApp

Povzetek Podjetje 3CX je izdalo varnostno opozorilo za aplikacijo 3CX Electron DesktopApp. Gre za programski telefon (softphone), katerega zlorabo so podrobneje raziskali in potrdili tudi pri podjetjih SentielOne in CrowdStrike. Gre …
Več

SI-CERT 2023-01 / Uhajanje NTLM poverilnic preko Outlook ranljivosti

Microsoft je zaznal aktivno izkoriščanje ranljivosti, ki napadalcu prek poštnega sporočila naslovljenega prejemniku, ki uporablja Outlook, omogoča krajo NTLM zgoščene vrednosti prejemnikovega gesla za prijavo v Windows
Več

SI-CERT 2022-07 / Ranljivost Citrix ADC in Citrix Gateway

Objavljeno: 14.12.2022 Povzetek Citrix Gateway in Citrix ADC (Application Delivery Controller) vsebujeta kritično ranljivost, ki neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Uradni popravki so že na voljo. Ranljivost se …
Več