Συναγερμός! κρίσιμο κενό ασφαλείας στο OpenSSL

Όλα εξαρτώνται από το OpenSSL. Αν δεν το γνωρίζετε, το OpenSSL είναι η εφαρμογή που καθιστά δυνατή την χρήση του πρωτοκόλλου TLS (από το Transport Layer Security) σε Linux, Unix, Windows και πολλά άλλα λειτουργικά συστήματα.

bug

Είναι επίσης η εφαρμογή που χρησιμοποιείται για το κλείδωμα σχεδόν κάθε ασφαλούς εφαρμογής επικοινωνίας και δικτύωσης και βέβαια κάθε συσκευής που κυκλοφορεί.

Όταν λοιπόν ο Mark Cox, ένας διακεκριμένος μηχανικός της Red Hat και ο Αντιπρόεδρος Ασφάλειας του Apache Software Foundation (ASF), έγραψε αυτή την εβδομάδα στο Twitter: “Η ενημέρωση OpenSSL 3.0.7 θα διορθώσει το Critical CVE την επόμενη Τρίτη -1700UTC”, όλοι θα πρέπει να ανησυχούμε.

Πόσο κρίσιμο είναι το “Κρίσιμο”;

Σύμφωνα με την OpenSSL, ένα ζήτημα κρίσιμης σοβαρότητας επηρεάζει κοινές διαμορφώσεις και είναι επίσης πιθανό να εκμεταλλευτεί από κακόβουλους χρήστες. Μπορεί να χρησιμοποιηθεί για να γίνει κατάχρηση και αποκάλυψη περιεχομένων μνήμης ενός διακομιστή και πιθανή αποκάλυψη των στοιχείων του χρήστη. Θα μπορούσε να γίνει απομακρυσμένη εκμετάλλευση για παραβίαση των ιδιωτικών κλειδιών του διακομιστή ή απομακρυσμένη εκτέλεση . Με άλλα λόγια, σχεδόν όλα όσα δεν θέλετε να συμβούν στα συστήματά σας.

Η ιστορία

Η τελευταία φορά που το OpenSSL είχε ένα κρίσιμο κενό ασφαλείας όπως αυτό ήταν το 2016. Αυτή η ευπάθεια θα μπορούσε να χρησιμοποιηθεί για τη συντριβή και την ανάληψη συστημάτων. Χρόνια μετά την ανακάλυψή του, η ασφαλείας Check Point υπολόγισε ότι επηρέασε πάνω από το 42% των οργανισμών.

Το τωρινό κενό ασφαλείας θα μπορούσε να είναι χειρότερο.

Μπορούμε μόνο να ελπίζουμε ότι δεν θα είναι τόσο κακό όσο το κενό ασφαλείας-πρωταθλητής όλων των εποχών του OpenSSL, το HeartBleed του 2014.

Τα καλά νέα

Υπάρχει όμως και κάτι ενθαρρυντικό. Το νέο κενό ασφαλείας επηρεάζει μόνο τις εκδόσεις 3.0.0 έως 3.0.6 της εφαρμογής OpenSSL. Έτσι, τα παλαιότερα λειτουργικά συστήματα και συσκευές είναι πιθανό να μην έχουν .

Για παράδειγμα, το Red Hat Enterprise Linux (RHEL) 8.x και οι παλαιότερές του εκδόσεις και το Ubuntu 20.04 δεν θα έχουν πρόβλημα.

Όμως το RHEL 9.x και το Ubuntu 22.04, χρησιμοποιούν το OpenSSL 3.x.

Εάν χρησιμοποιείτε οπουδήποτε το OpenSSL 3.x ετοιμαστείτε να ενημερώσετε την Τρίτη. Πρόκειται για ένα επικίνδυνο κενό ασφαλείας και σύντομα θα ακολουθήσουν exploits.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.
OpenSSL,iguru

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).