Krytyczna podatność w OpenSSL. Zalecana jest pilna aktualizacja (serwery WWW)

2 listopada, 2022

Eksperci ostrzegają przed dwoma krytycznymi lukami w OpenSSL, czyli oprogramowaniu do zarządzania protokołami SSL i TLS. Jedna z luk umożliwia wykonanie złośliwego kodu (RCE) na komputerze ofiary, inna na przeprowadzenie ataku typu DDoS. Na razie wpływ nowej luki wydaje się ograniczony do ewentualnej „odmowy usługi” (denial of service), jednak eksperci zaznaczają, że inne, jeszcze niezidentyfikowane platformy, mogą okazać się bardziej narażone na ryzyko.

W zeszłym tygodniu byliśmy świadkami nietypowych kroków twórców OpenSSL, którzy poinformowali o zbliżającej się „krytycznej” luce, będącej prawdopodobnie pierwszym tak dużym problemem od czasu niesławnej podatności Heartbleed (CVE-2014-0160) osiem lat temu. Analitycy bezpieczeństwa potwierdzili ostatecznie dwie nowe krytyczne luki w zabezpieczeniach OpenSSL, które znaczone zostały jako CVE-2022-3602 (zdalne wykonanie kodu) i CVE-2022-3786 (odmowa usługi).

Nic nie wskazuje na to, że którakolwiek z podatności została wykorzystana, ale warto przeprowadzać audyt systemów pod kątem potencjalnego narażenia na ataki OpenSSL 3.0.x, a także zaktualizować oprogramowanie. „Od SolarWinds, przez Log4j, do podatności OpenSSL, obserwujemy wykładniczy wzrost częstotliwości i złożoności cyberataków na całym świecie. OpenSSL to branżowa podstawa zabezpieczania Internetu, umożliwiająca bezpieczną komunikację w poczcie e-mail, witrynach internetowych i aplikacjach internetowych, co czyni to zagrożenie szczególnie niebezpiecznym”. – czytamy w komunikacie Check Pointa.

Eksperci sugerują, aby branża technologiczna zaktualizowała wszystkie wrażliwe produkty za pomocą nowej wersji OpenSSL 3.0.7, aby ich klienci nie musieli się martwić o cyberprzestępców, którzy pracują nad wykorzystaniem informacji zebranych na temat luk. Przygotowana została strona internetowa, która przedstawia popularniejsze produkty bezpieczeństwa, korzystające z podatnych wersji OpenSSL.

Podatności wykryte w wersjach od 3.0.0 do 3.0.6 zostały załatane w najnowszej wersji 3.0.7. Aktualizacja dotyczy tylko OpenSSL 3.0.x, czyli wydania, które zadebiutowało w 2021 roku.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]