OpenSSL

OpenSSL udsender patch

OpenSSL-projektet udsendte tirsdag en større sikkerhedsopdatering, der adresserer mindst otte dokumenterede sikkerhedsfejl, der kan udsætte OpenSSL-brugere for ondsindede hackerangreb. Det skriver Security Week. Open source-projektet dokumenterede også syv moderate problemer, som bør håndteres med det samme.

Dansk
Keywords: 

OpenSSL retter to sårbarheder

OpenSSL-projektet har rettet to alvorlige sikkerhedsfejl i dets open source kryptografiske bibliotek, der bruges til at kryptere kommunikationskanaler og HTTPS-forbindelser. Det skriver Bleeping Computer og en lang række andre medier.

Der er tale om to sårbarheder med id’erne CVE-2022-3602 og CVE-2022-3786, der påvirker OpenSSL version 3.0.0 og nyere. Begge er blevet rettet i OpenSSL 3.0.7.

Dansk
Keywords: 

Heap-overload med RSA-private Key (CVE-2022-2274) i OpenSSL

Problemet består i, at RSA-implementeringer med 2048 bit private nøgler håndteres således, at 'hukommelsesoverload' vil ske under udførelse af instrukser. Som en konsekvens af hukommelsenkorruptionen kan en angriber udløse en fjerneksekvering af kode på den maskine, der udfører beregningen.

SSL/TLS-servere eller andre servere, der kører med 2048 bit RSA private nøgler på enheder, som understøtter AVX512IFMA-instruktioner for X86_64-arkitekturen, er berørt af dette problem.

Dansk

OpenSSL understøtter nu TLS 1.3

OpenSSL Foundation er nu klar med version 1.1.1 af krypteringsbiblioteket OpenSSL, der anvendes i mange forskellige softwareprodukter.

Specielt implementeringen af TLS 1.3 (Transport Layer Security) er en god nyhed. Det er nemlig den nyeste version af krypteringsprotokollen.

Version 1.3 blev klar i marts 2018, og den byder både på bedre sikkerhed og et forenklet ”handshake”, hvilket betyder, at tiden det tager, at forhandle sig frem til en forbindelse mellem en server og en klient bliver reduceret betydeligt.

Dansk

OpenSSL lukker to huller

Udviklerne af OpenSSL har fjernet to sårbarheder. Den ene har fået risikovurderingen medium, den anden regnes for lav.

Den alvorligste af sårbarhederne kan i teorien bruges til at knække krypteringsnøgler. I praksis vil det dog være meget vanskeligt, oplyser OpenSSL: Et angreb vil kræve så store computerressourcer, at kun få angribere vil have adgang til dem.

Udviklerne opdagede sårbarhederne ved hjælp af Googles tjeneste OSS-Fuzz. Det er en såkaldt fuzzer, der afprøver sikkerheden ved at sende en stor mængde forskellige inputdata til applikationen.

Dansk

OpenSSL lukker tre huller

Udviklerne af krypteringsprogrammet OpenSSL har lukket tre sikkerhedshuller, hvoraf det ene er alvorligt.

Den alvorlige sårbarhed kan udnyttes til at få programmet til at gå ned.

De to øvrige sårbarheder har moderat eller lav risiko.

Anbefaling

Opdater til OpenSSL 1.1.0c.

Dansk
Abonnér på RSS - OpenSSL