Kritická zranitelnost v OpenSSL může způsobit kolaps

V projektu OpenSSL byla objevena kritická zranitelnost, která může spustit lavinu kyberútoků s fatálními následky

3. 11. 2022

OpenSSL je běžně používaná knihovna kódů, která umožňuje zabezpečenou komunikaci na internetu. Zjednodušeně řečeno, kdykoli procházíme internet, webová stránka, kterou prohlížíme, nebo online služba, ke které přistupujeme, využívá OpenSSL.

Šifrovací nástroj OpenSSL je hojně používaný po celém světě. A právě proto věnuje odborná veřejnost velkou pozornost nedávnému oznámení, že v OpenSSL verze 3 byla nalezena kritická chyba. Jde totiž o teprve druhou kritickou chybu v historii tohoto open source projektu.

V úterý 1. listopadu 2022 byla vývojáři vydaná knihovna OpenSSL ve verzi 3.0.7, která opravuje zranitelnosti CVE-2022-3602CVE-2022-3786, obě označené na stupnici závažnosti zranitelnosti stupněm Vysoká. Chyby souvisejí s přetečením zásobníku při zpracování e-mailové adresy, díky tomu by mohl útočník vzdáleně spustit kód.

Tyto zranitelnosti byly do knihovny začleněny až od verze 3.0.0. Starší a stále velmi rozšířené verze knihovny 1.0 a 1.1 nejsou těmito zranitelnostmi zasaženy.

Seznam vybraných systémů obsahující OpenSSL 3

  • Red Hat Enterprise Linux verze 9 a jeho deriváty (Oracle Linux 9, Rocky Linux 9, AlmaLinux 9)
  • CentOS 9 Stream
  • Ubuntu 22.04 a vyšší
  • Fedora 36
  • Kontejnery založené na těchto operačních systémech
  • VMware ESXi 8.0
  • VMware Photon OS 4
  • Aplikace využívající Node.js v18.x nebo v19.x

Zranitelnost se týká OpenSSL ve verzích 3.0.0 až 3.0.6. Doporučuje se aktualizace na verzi 3.0.7, která obsahuje právě zmíněnou opravu. Doporučujeme systémy a aplikace využívající tuto knihovnu aktualizovat co nejdříve. Proof of Concept (PoC) zneužití těchto zranitelností k pádu aplikace jsou již veřejně dostupné.

Více informací naleznete na stránkách NÚKIB.

Zdroje

VISITECH a.s. 2021 © Všechna práva vyhrazena

Vectors by Vecteezy & Freepik.