Kritická zranitelnost v OpenSSL může způsobit kolaps

V projektu OpenSSL byla objevena kritická zranitelnost, která může spustit lavinu kyberútoků s fatálními následky

3. 11. 2022

OpenSSL je běžně používaná knihovna kódů, která umožňuje zabezpečenou komunikaci na internetu. Zjednodušeně řečeno, kdykoli procházíme internet, webová stránka, kterou prohlížíme, nebo online služba, ke které přistupujeme, využívá OpenSSL.

Šifrovací nástroj OpenSSL je hojně používaný po celém světě. A právě proto věnuje odborná veřejnost velkou pozornost nedávnému oznámení, že v OpenSSL verze 3 byla nalezena kritická chyba. Jde totiž o teprve druhou kritickou chybu v historii tohoto open source projektu.

V úterý 1. listopadu 2022 byla vývojáři vydaná knihovna OpenSSL ve verzi 3.0.7, která opravuje zranitelnosti CVE-2022-3602CVE-2022-3786, obě označené na stupnici závažnosti zranitelnosti stupněm Vysoká. Chyby souvisejí s přetečením zásobníku při zpracování e-mailové adresy, díky tomu by mohl útočník vzdáleně spustit kód.

Tyto zranitelnosti byly do knihovny začleněny až od verze 3.0.0. Starší a stále velmi rozšířené verze knihovny 1.0 a 1.1 nejsou těmito zranitelnostmi zasaženy.

Seznam vybraných systémů obsahující OpenSSL 3

  • Red Hat Enterprise Linux verze 9 a jeho deriváty (Oracle Linux 9, Rocky Linux 9, AlmaLinux 9)
  • CentOS 9 Stream
  • Ubuntu 22.04 a vyšší
  • Fedora 36
  • Kontejnery založené na těchto operačních systémech
  • VMware ESXi 8.0
  • VMware Photon OS 4
  • Aplikace využívající Node.js v18.x nebo v19.x

Zranitelnost se týká OpenSSL ve verzích 3.0.0 až 3.0.6. Doporučuje se aktualizace na verzi 3.0.7, která obsahuje právě zmíněnou opravu. Doporučujeme systémy a aplikace využívající tuto knihovnu aktualizovat co nejdříve. Proof of Concept (PoC) zneužití těchto zranitelností k pádu aplikace jsou již veřejně dostupné.

Více informací naleznete na stránkách NÚKIB.

Zdroje

https://www.nukib.cz/cs/infoservis/hrozby/1902-upozornujeme-na-zranitelnosti-knihovny-opensslve-verzi-3/

https://www.seznamzpravy.cz/clanek/tech-technologie-internet-objevila-se-kriticka-chyba-v-sifrovani-internetu-ceka-se-zavod-s-hackery-218126

https://www.itbiz.cz/zpravicky/kriticka-zranitelnost-v-openssl

https://thehackernews.com/2022/11/just-in-openssl-releases-patch-for-2.html

zpět

VISITECH a.s. je stabilní partner a odborník v oblasti kybernetické bezpečnosti a IT infrastruktury, informačních systémů a sítí firem a organizací. Jsme přední společností v oblasti skutečné kybernetické bezpečnosti.

KONTAKT

Košinova 655/59
612 00 Brno

info@visitech.cz
+420 538 700 880

IČ: 255 43 415
DIČ: CZ 255 43 415

vedený u Krajského soudu v Brně oddíl B,
vložka 6323

POBOČKY

Praha 4, Michle
Ohradní 1394/61
+420 274 776 890

KANCELÁŘ

Ostrava - Vítkovice
Ruská 83/24
+420 597 317 377

VISITECH a.s. 2021 © Všechna práva vyhrazena

Vectors by Vecteezy & Freepik.