OpenSSL исправляет второй критический недостаток безопасности
вычисления techradar.com Новости

OpenSSL исправляет второй критический недостаток безопасности

28 октября 2022 г.

OpenSSL готовится к исправлению своего первого критического недостатка за восемь лет. . Проект OpenSSL объявил о новом обновлении программного обеспечения, которое должно исправить несколько уязвимостей в наборе инструментов с открытым исходным кодом, в том числе один недостаток, определенный как критический.

«Команда проекта OpenSSL объявляет о предстоящем выпуске OpenSSL версии 3.0.7. Этот релиз будет доступен во вторник, 1 ноября 2022 года, с 13:00 до 17:00 UTC». читает объявление. «OpenSSL 3.0.7 — это выпуск исправления безопасности. Проблема наивысшей степени серьезности, исправленная в этом выпуске, является КРИТИЧЕСКОЙ».

«Примеры включают значительное раскрытие содержимого памяти сервера (возможно раскрытие сведений о пользователе), уязвимости, которые можно легко использовать удаленно для компрометации закрытых ключей сервера или где удаленное выполнение кода считается вероятным в обычных ситуациях», — сказали разработчики.

Обновление выйдет в следующем месяце

Эта уязвимость затрагивает версии 3.0 и новее и является второй критической уязвимостью, которую когда-либо устранял проект OpenSSL, первой из которых стала Heartbleed (CVE-2014-0160) в 2014 году. 

Дата выпуска версии 3.0.7 теперь назначена на 1 ноября. Разработчики описывают ее как «выпуск с исправлением безопасности». Параллельно в тот же день будет выпущен выпуск с исправлением ошибок 1.1.1s.

Сообщение о наличии серьезной уязвимости за неделю до выпуска исправления может побудить киберпреступников искать уязвимости там, где они в противном случае их не искали бы. Но отраслевые эксперты считают, что преимущества такого объявления иногда перевешивают риски.

Технический директор Sonatype, Брайан Фокс, например, прокомментировал:

«Предположение предполагает, что исправление доступно в общедоступном источнике, а предварительное уведомление дает злоумышленникам время, чтобы найти его. . Это предположение может быть неверным, в некоторых случаях рекомендуется запретить фактическое изменение до тех пор, пока не будет объявлено именно по этой причине. В команду OpenSSL входят одни из ведущих экспертов по работе с громкими сообщениями об уязвимостях с открытым исходным кодом, и если они решили, что это лучший способ действий — заблаговременное уведомление, — тогда я верю в это решение». /p>

Подробнее

> Серьезная уязвимость OpenSSL подвергает риску системы на базе Intel<сильный>

> QNAP сообщает, что работает над исправлениями ошибок OpenSSL, влияющих на ее устройства NAS

> Вот лучшее шифрование ПО прямо сейчас

Член основной команды OpenSSL, Марк Дж. Кокс, удвоил этот аргумент, заявив, что, поскольку подробностей об уязвимости так мало, вероятность того, что мошенники воспользуются ею до того, как она будет исправлена, невелика. Предупреждение ИТ-специалистов о выпуске исправления значительно перевешивает потенциальные риски злоупотребления уязвимостью мошенниками.

«Учитывая количество изменений в версии 3.0 и отсутствие какой-либо другой контекстной информации, [threat актеры, просматривающие историю коммитов между версиями 3.0 и текущей, чтобы найти что-либо], очень маловероятно», — написал он в Твиттере.

Через: отдел безопасности

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE