OpenSSL исправляет второй критический недостаток безопасности
28 октября 2022 г.OpenSSL готовится к исправлению своего первого критического недостатка за восемь лет. . Проект OpenSSL объявил о новом обновлении программного обеспечения, которое должно исправить несколько уязвимостей в наборе инструментов с открытым исходным кодом, в том числе один недостаток, определенный как критический.
«Команда проекта OpenSSL объявляет о предстоящем выпуске OpenSSL версии 3.0.7. Этот релиз будет доступен во вторник, 1 ноября 2022 года, с 13:00 до 17:00 UTC». читает объявление. «OpenSSL 3.0.7 — это выпуск исправления безопасности. Проблема наивысшей степени серьезности, исправленная в этом выпуске, является КРИТИЧЕСКОЙ».
«Примеры включают значительное раскрытие содержимого памяти сервера (возможно раскрытие сведений о пользователе), уязвимости, которые можно легко использовать удаленно для компрометации закрытых ключей сервера или где удаленное выполнение кода считается вероятным в обычных ситуациях», — сказали разработчики.
Обновление выйдет в следующем месяце
Эта уязвимость затрагивает версии 3.0 и новее и является второй критической уязвимостью, которую когда-либо устранял проект OpenSSL, первой из которых стала Heartbleed (CVE-2014-0160) в 2014 году.
Дата выпуска версии 3.0.7 теперь назначена на 1 ноября. Разработчики описывают ее как «выпуск с исправлением безопасности». Параллельно в тот же день будет выпущен выпуск с исправлением ошибок 1.1.1s.
Сообщение о наличии серьезной уязвимости за неделю до выпуска исправления может побудить киберпреступников искать уязвимости там, где они в противном случае их не искали бы. Но отраслевые эксперты считают, что преимущества такого объявления иногда перевешивают риски.
Технический директор Sonatype, Брайан Фокс, например, прокомментировал:
«Предположение предполагает, что исправление доступно в общедоступном источнике, а предварительное уведомление дает злоумышленникам время, чтобы найти его. . Это предположение может быть неверным, в некоторых случаях рекомендуется запретить фактическое изменение до тех пор, пока не будет объявлено именно по этой причине. В команду OpenSSL входят одни из ведущих экспертов по работе с громкими сообщениями об уязвимостях с открытым исходным кодом, и если они решили, что это лучший способ действий — заблаговременное уведомление, — тогда я верю в это решение». /p>
Член основной команды OpenSSL, Марк Дж. Кокс, удвоил этот аргумент, заявив, что, поскольку подробностей об уязвимости так мало, вероятность того, что мошенники воспользуются ею до того, как она будет исправлена, невелика. Предупреждение ИТ-специалистов о выпуске исправления значительно перевешивает потенциальные риски злоупотребления уязвимостью мошенниками.
«Учитывая количество изменений в версии 3.0 и отсутствие какой-либо другой контекстной информации, [threat актеры, просматривающие историю коммитов между версиями 3.0 и текущей, чтобы найти что-либо], очень маловероятно», — написал он в Твиттере.
- Познакомьтесь с наилучшей защитой конечных точек.
Через: отдел безопасности
Оригинал