Συναγερμός! κρίσιμο κενό ασφαλείας στο OpenSSL

Όλα εξαρτώνται από το . Αν δεν το γνωρίζετε, το OpenSSL είναι η εφαρμογή που καθιστά δυνατή την χρήση του πρωτοκόλλου ασφαλείας TLS (από το Transport Layer Security) σε Linux, Unix, Windows και πολλά άλλα λειτουργικά συστήματα.

bug

Είναι επίσης η εφαρμογή που χρησιμοποιείται για το κλείδωμα σχεδόν κάθε ασφαλούς εφαρμογής επικοινωνίας και δικτύωσης και βέβαια κάθε συσκευής που κυκλοφορεί.

Όταν λοιπόν ο Mark Cox, ένας διακεκριμένος μηχανικός λογισμικού της Red Hat και ο Αντιπρόεδρος Ασφάλειας του Apache Software Foundation (ASF), έγραψε αυτή την εβδομάδα στο Twitter: “Η ενημέρωση OpenSSL 3.0.7 θα διορθώσει το Critical CVE την επόμενη Τρίτη 1300-1700UTC”, όλοι θα πρέπει να ανησυχούμε.

Πόσο κρίσιμο είναι το “Κρίσιμο”;

Σύμφωνα με την OpenSSL, ένα ζήτημα κρίσιμης σοβαρότητας επηρεάζει κοινές διαμορφώσεις και είναι επίσης πιθανό να εκμεταλλευτεί από κακόβουλους χρήστες. Μπορεί να χρησιμοποιηθεί για να γίνει κατάχρηση και αποκάλυψη περιεχομένων μνήμης ενός διακομιστή και πιθανή αποκάλυψη των στοιχείων του χρήστη. Θα μπορούσε να γίνει απομακρυσμένη εκμετάλλευση για παραβίαση των ιδιωτικών κλειδιών του διακομιστή ή απομακρυσμένη εκτέλεση κώδικα. Με άλλα λόγια, σχεδόν όλα όσα δεν θέλετε να συμβούν στα συστήματά σας.

  Κολομβία: απαγόρευσε τις πωλήσεις iPhone

Η ιστορία

Η τελευταία φορά που το OpenSSL είχε ένα κρίσιμο κενό ασφαλείας όπως αυτό ήταν το 2016. Αυτή η ευπάθεια θα μπορούσε να χρησιμοποιηθεί για τη συντριβή και την ανάληψη συστημάτων. Χρόνια μετά την ανακάλυψή του, η εταιρεία ασφαλείας Check Point υπολόγισε ότι επηρέασε πάνω από το 42% των οργανισμών.

Το τωρινό κενό ασφαλείας θα μπορούσε να είναι χειρότερο.

Μπορούμε μόνο να ελπίζουμε ότι δεν θα είναι τόσο κακό όσο το κενό ασφαλείας-πρωταθλητής όλων των εποχών του OpenSSL, το HeartBleed του 2014.

Τα καλά νέα

Υπάρχει όμως και κάτι ενθαρρυντικό. Το νέο κενό ασφαλείας επηρεάζει μόνο τις εκδόσεις 3.0.0 έως 3.0.6 της εφαρμογής OpenSSL. Έτσι, τα παλαιότερα λειτουργικά συστήματα και συσκευές είναι πιθανό να μην έχουν προβλήματα.

Για παράδειγμα, το Red Hat Enterprise Linux (RHEL) 8.x και οι παλαιότερές του εκδόσεις και το Ubuntu 20.04 δεν θα έχουν πρόβλημα.

Όμως το RHEL 9.x και το Ubuntu 22.04, χρησιμοποιούν το OpenSSL 3.x.

  Μικροπλαστικά για πρώτη φορά σε φρέσκο χιόνι της Ανταρκτικής

Εάν χρησιμοποιείτε οπουδήποτε το OpenSSL 3.x ετοιμαστείτε να ενημερώσετε την Τρίτη. Πρόκειται για ένα επικίνδυνο κενό ασφαλείας και σύντομα θα ακολουθήσουν exploits.

OpenSSL,iguru

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


  +  56  =  61