Skoči na vsebino

SI-CERT 2022-05 / Ranljivosti OpenSSL 3 knjižnice

Objavljeno: 2. 11. 2022

Povzetek

OpenSSL knjižnica različic 3.0.0 do 3.0.6 vsebuje ranljivosti pri preverjanjih X.509 digitalnih potrdil, ki lahko povzročijo izpad delovanja (denial of service) ali morda tudi zagon programske kode na daljavo (remote code execution). Zaenkrat še ni podatkov o izkoriščanju ranljivosti, vseeno svetujemo nadgradnjo na različico 3.0.7.

Opis

OpenSSL projekt je 1. 11. 2022 objavil varnostno opozorilo, v katerem so opisali dve različni ranljivosti, ki se pojavljata v knjižnicah različic 3.0.0 do 3.0.6. Ranljivosti CVE-2022-3602 je bila sicer najavljana kot kritična, vendar pa so po bolj natančnem pregledu stopnji znižali na visoko, saj je nekaj okoliščin, ki otežijo neposredno izrabo ranljivosti za zagon programske kode na daljavo. Iste stopnje je tudi ranljivost CVE-2022-3786, ki ima za posledico lahko izpad delovanja sistema. Več tehničnih podrobnosti je na voljo v prispevku The OpenSSL punycode vulnerability (CVE-2022-3602): Overview, detection, exploitation, and remediation podjetja DataDog Security Labs.

Ukrepi

Priporočamo takojšnjo nadgradnjo na različico 3.0.7 za sisteme, ki uporabljajo OpenSSL 3 knjižnico. Pri tem uporabite seznam ranljive programske opreme, ki ga vodi nizozemski NCSC-NL in se redno osvežuje. Na voljo so tudi recepti za iskanje ranljivih knjižnic za različne operacijske sisteme in virtualna okolja.

Povezave

Preberite tudi

SI-CERT 2023-06 / Zlorabe Cisco IOS XE naprav

Cisco IOS XE naprave, ki imajo dostopen spletni vmesnik (Web UI) so ranljive in omogočajo storilcem zagon poljubne kode na njih. Ranljivost se trenutno aktivno izkorišča.
Več

SI-CERT 2023-05 / Ranljivost Ivanti Endpoint Manager Mobile (MobileIron)

Ranljivost CVE-2023-35078 Endpoint Manager Mobile (EPMM, prej MobileIron Core) za upravljanje mobilnih naprav podjetja Ivanti omogoča oddaljeni zagon poljubne kode na ranljivem sistemu (RCE, Remote Code Execution). Ranljivost ima najvišjo oceno CVSS (10.0) in se že izrablja v kibernetskih napadih. Skrbnikom svetujemo takojšnjo nadgradnjo.
Več

SI-CERT 2023-04 / Ranljivosti Citrix/NetScaler ADC in Gateway

Ranljivost CVE-2023-3519 neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Posodobitve odpravljajo ranljivost, ta naj bi se že izrabljala v posameznih napadih.
Več