Skoči na vsebino

SI-CERT 2022-05 / Ranljivosti OpenSSL 3 knjižnice

Objavljeno: 2. 11. 2022

Povzetek

OpenSSL knjižnica različic 3.0.0 do 3.0.6 vsebuje ranljivosti pri preverjanjih X.509 digitalnih potrdil, ki lahko povzročijo izpad delovanja (denial of service) ali morda tudi zagon programske kode na daljavo (remote code execution). Zaenkrat še ni podatkov o izkoriščanju ranljivosti, vseeno svetujemo nadgradnjo na različico 3.0.7.

Opis

OpenSSL projekt je 1. 11. 2022 objavil varnostno opozorilo, v katerem so opisali dve različni ranljivosti, ki se pojavljata v knjižnicah različic 3.0.0 do 3.0.6. Ranljivosti CVE-2022-3602 je bila sicer najavljana kot kritična, vendar pa so po bolj natančnem pregledu stopnji znižali na visoko, saj je nekaj okoliščin, ki otežijo neposredno izrabo ranljivosti za zagon programske kode na daljavo. Iste stopnje je tudi ranljivost CVE-2022-3786, ki ima za posledico lahko izpad delovanja sistema. Več tehničnih podrobnosti je na voljo v prispevku The OpenSSL punycode vulnerability (CVE-2022-3602): Overview, detection, exploitation, and remediation podjetja DataDog Security Labs.

Ukrepi

Priporočamo takojšnjo nadgradnjo na različico 3.0.7 za sisteme, ki uporabljajo OpenSSL 3 knjižnico. Pri tem uporabite seznam ranljive programske opreme, ki ga vodi nizozemski NCSC-NL in se redno osvežuje. Na voljo so tudi recepti za iskanje ranljivih knjižnic za različne operacijske sisteme in virtualna okolja.

Povezave

Preberite tudi

SI-CERT 2022-04 / Ranljivost Microsoft Exchange strežnika

Dve ranljivosti Microsoft Exchange strežnika omogočata napadalcem izvedbo napada z zagonom poljubne kode, pri čemer je pogoj za uspešno izvedbo napada predhodna pridobitev pravic avtenticiranega uporabnika. Po podatkih Microsofta se veriga ranljivosti že izkorišča v omejenem številu ciljanih napadov.
Več

SI-CERT 2022-03 / Več ranljivosti v produktih podjetja Siemens

Siemens je eden vodilnih proizvajalcev sistemske avtomatizacije v proizvodnji. Objavili so vrsto varnostnih obvestil, med njimi tudi za kritične ranljivosti.
Več

SI-CERT 2022-02 / MSDT Ranljivost (Microsoft Support Diagnostic Tool)

Sistemi Microsoft Windows vsebujejo ranljivost z oznako CVE-2022-30190, ki v določenih primerih napadalcem omogoča izvedbo poljubne kode. V času objave tega obvestila uradni popravki ranljivosti še niso na voljo, sama ranljivost pa se že izkorišča v napadih (t.i. 0-day ranljivost).
Več