Бесплатно Экспресс-аудит сайта:

11.02.2023

OpenSSL устранила ошибку раскрытия памяти, обновить ПО нужно как можно скорее

Разработчики OpenSSL выпустили исправления для целого ряда уязвимостей, включая серьезную ошибку в инструментарии шифрования. Данная ошибка потенциально могла подвергнуть пользователей вредоносным атакам.

Уязвимость CVE-2023-0286 относится к разновидности «Type Confusion» («путаница типов»), которая может позволить злоумышленнику считывать содержимое памяти или вызывать отказ в обслуживании», — говорится в сообщении представителей OpenSSL.

«В большинстве случаев атака требует, чтобы злоумышленник предоставил как цепочку сертификатов, так и CRL, ни один из которых не должен иметь действительной подписи. Если злоумышленник контролирует только один из этих входов, другой вход должен уже содержать адрес X.400 в качестве точки распространения CRL», — добавили в OpenSSL.

Ошибки, связанные с путаницей типов, могут иметь серьезные последствия, поскольку их можно использовать для преднамеренного принудительного поведения программы непреднамеренным образом, что может привести к сбою или выполнению вредоносного кода.

Проблема была исправлена в версиях OpenSSL 3.0.8, 1.1.1t и 1.0.2zg. Другие уязвимости, устраненные в рамках последних обновлений, включают: CVE-2022-4203 , CVE-2022-4304 , CVE-2022-4450 , CVE-2023-0215 , CVE-2023-0216 , CVE-2023-0217 , CVE-2023-0401 .

Успешное использование вышеуказанных уязвимостей может привести к сбою приложения, раскрытию содержимого памяти и даже восстановлению сообщений, отправленных по сети открытым текстом.

Также в начале недели мы сообщали об исправлении другой критической уязвимости, затронувшей OpenSSH, под идентификатором CVE-2023-25136 . Несмотря на внушительный рейтинг CVSS 9,1 из 10, исследователи безопасности сообщили, что процесс эксплуатации уязвимости слишком затруднён для активного использования.

Всем пользователям данных продуктов рекомендуется как можно быстрее обновиться до последней версии, чтобы минимизировать любые риски.