Zaktualizuj OpenSSL do wersji 3.0.7 lub wyższej bo znaleziono krytyczną lukę

13-12-2022 | 10:00
Komentarze (0) 0
Bezpieczeństwo
W OpenSSL od wersji 3.0.0 do 3.0.6 włącznie znaleziono krytyczną lukę w bezpieczeństwie, związaną z przepełnieniem bufora, umożliwiającą DoS atak.

Najczęściej czytane

Zaktualizuj OpenSSL do wersji 3.0.7 lub wyższej Zaktualizuj OpenSSL do wersji 3.0.7 lub wyższej

Witajcie na blogu informatycznym! Niedawno od kolegi dowiedziałem się że w bibliotece OpenSSL znaleziono lukę w bezpieczeństwie. A ja używam tej biblioteki sporo w swoich projektach, więc musiałem zareagować, a w międzyczasie popełniłem niniejszą notatkę.

Tu CVE-2022-3602 jest opis luki w oryginale. Myk polega na tym że w pewnych warunkach przy walidacji certyfikatu X.509 za pomocą OpenSSL może nastąpić przepełnienie bufora na stosie, co może skutkować atakiem DoS (tu przeczytasz co to jest atak DoS i DDoS), albo nawet potencjalnie uruchomieniem złośliwego kodu. Największy problem polega na tym że złodziej może specjalnie przygotować certyfikat w taki sposób aby celowo wywołać awarię atakowanego serwisu. Oczywiście, musi wiedzieć że korzystać z OpenSSL w wersji 3.0.0, ale i tak liczba firm posługujących się OpenSSL 3.0.0 idzie co najmniej w setki tysiąc.

Otóż, warto zaktualizować OpenSSL do wersji 3.0.7, chyba że jak czytasz ten tekst to już jest dostępna nowsza wersja, bo w dniu publikacji niniejszej notatki już jest dostępna wersja 3.1 ale Alpha (czyli do testów), więc do produkcji dalej jest 3.0.7.

Aktualna wersja OpenSSL dostepna do pobrania pod tym linkiem. W większości wypadków biblioteka OpenSSL wymaga ręcznej kompilacji, ale ten kto używa OpenSSL pewnie o tym wie i sobie poradzi.

W razie pytań zachęcam do pisania komentarzy pod tym artykułem.

Dziękuję że jesteście!

Jeśli znalazłe[-a]ś w tekście, literówkę, błąd stylistyczny albo inny błąd językowy - bardzo proszę o napisanie poprawki w komentarzu pod artykułem albo przez formularz kontaktowy. Dziękuję!

Autor artykułu: Sergiusz Diundyk.

Komentarze

Na razie brak komentarzy. Dodaj pierwszy komentarz do artykułu!
Dodaj nowy komentarz:

 Oświadczam że przeczytałe[-a]m Regulamin i akceptuję go w całości i bezwarunkowo.
 
Imię lub pseudonim
 
Twój komentarz
Wyślij komentarz
Zoom
Ok