Af Eskil Sørensen, 02/11/22
OpenSSL-projektet har rettet to alvorlige sikkerhedsfejl i dets open source kryptografiske bibliotek, der bruges til at kryptere kommunikationskanaler og HTTPS-forbindelser. Det skriver Bleeping Computer og en lang række andre medier.
Der er tale om to sårbarheder med id’erne CVE-2022-3602 og CVE-2022-3786, der påvirker OpenSSL version 3.0.0 og nyere. Begge er blevet rettet i OpenSSL 3.0.7.
CVE-2022-3602 er et vilkårligt stackbufferoverflow, der kan udløse nedbrud eller føre til fjernafvikling af kode (RCE). CVE-2022-3786 kan udnyttes af angribere via ondsindede e-mail-adresser til at udløse en denial-of-service via et bufferoverløb.
Ifølge Bleeping Computer siger OpenSSL-teamet, at problemerne anses for at være alvorlige sårbarheder, og berørte brugere opfordres til at opgradere så hurtigt som muligt. Der er dog ikke meldinger om igangværende udnyttelse. Hvis administratorer ikke har mulighed for at patche, anbefaler OpenSSL at anvende afbødende foranstaltninger. Det kræver deaktivering af TLS-klientgodkendelse. Yderligere oplysninger fremgår af OpenSSLs advisory-side.
Det hollandske nationale cybersikkerhedscenter vedligeholder en liste over produkter, der kan være påvirket af OpenSSL-sårbarhederne. Den kan være nyttig at kigge igennem for at se, om ens organisation har et it-setup, der er omfattet af sårbarheden. Listen findes her https://github.com/NCSC-NL/OpenSSL-2022/blob/main/software/README.md
Links:
https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/
https://www.openssl.org/news/secadv/20221101.txt
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
https://mta.openssl.org/pipermail/openssl-announce/2022-November/000241.html
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/01/openssl-releases-security-update
https://therecord.media/openssl-releases-fixes-for-two-high-severity-vulnerabilities/
https://thehackernews.com/2022/11/just-in-openssl-releases-patch-for-2.html
https://www.bankinfosecurity.com/heartbleed-openssl-vulnerability-critical-anymore-a-20383
https://blog.checkpoint.com/2022/11/01/openssl-vulnerability-cve-2022-3602-remote-code-execution-and-cve-2022-3786-denial-of-service-check-point-research-update/
https://blog.talosintelligence.com/openssl-vulnerability/
https://www.csoonline.com/article/3678314/openssl-project-patches-two-vulnerabilities-but-downgrades-severity.html
https://www.darkreading.com/risk/disclosed-openssl-bugs-serious-not-critical
https://www.helpnetsecurity.com/2022/11/01/high-severity-openssl-vulnerabilities-fixed-cve-2022-3602-cve-2022-3786/
https://www.itnews.com.au/news/openssl-downgrades-email-address-bug-from-critical-to-high-587267
https://nakedsecurity.sophos.com/2022/11/01/openssl-patches-are-out-critical-bug-downgraded-to-high-but-patch-anyway/
https://www.securityweek.com/anxiously-awaited-openssl-vulnerabilitys-severity-downgraded-critical-high
https://www.theregister.com/2022/11/01/openssl_downgrades_bugs/
https://www.trendmicro.com/en_us/research/22/j/openssl-critical-security-vulnerability-fix.html
https://www.zdnet.com/article/openssl-dodges-a-security-bullet/