OpenSSL udsender patch

Af Eskil Sørensen, 09/02/23

OpenSSL-brugere risikerer kompromittering af fortrolighed og tilgængelighed.

OpenSSL-projektet udsendte tirsdag en større sikkerhedsopdatering, der adresserer mindst otte dokumenterede sikkerhedsfejl, der kan udsætte OpenSSL-brugere for ondsindede hackerangreb. Det skriver Security Week. Open source-projektet dokumenterede også syv moderate problemer, som bør håndteres med det samme.

Den mest alvorlige af fejlene er et type confusion-problem. Det har id’et CVE-2023-0286 og har af Red Hat indtil videre fået en CVSS-score på 7,4, mens OpenSSl-projektet selv har givet den scoren ’high’. Sårbarheden har fået den høje score, fordi den gør det muligt for en angriber at læse indhold i hukommelsen eller effekture denial-of-service.

Organisationer, der kører OpenSSL version 3.0, 1.1.1 og 1.0.2, opfordres til at anvende tilgængelige opgraderinger med det samme. Efter rettelser er implementeret sker der følgende ændringer i betegnelserne:

  • OpenSSL 3.0 series: ny version bliver til 3.0.8.
  • OpenSSL 1.1.1 series: ny version bliver til 1.1.1t.
  • OpenSSL 1.0.2 series: ny version bliver til 1.0.2zg.

OpenSSL er en open-source implementering af SSL- og TLS-protokollerne, der bruges til kryptering af indhold der sendes over internettet.

Links:

https://www.securityweek.com/openssl-ships-patch-for-high-severity-flaws/

https://nakedsecurity.sophos.com/2023/02/08/openssl-fixes-high-severity-data-stealing-bug-patch-now/

https://www.openssl.org/news/secadv/20230207.txt

Keywords: 
OpenSSL