Zaktualizuj OpenSSL do wersji 3.0.7 lub wyższej bo znaleziono krytyczną lukę
Najczęściej czytane
Witajcie na blogu informatycznym! Niedawno od kolegi dowiedziałem się że w bibliotece OpenSSL znaleziono lukę w bezpieczeństwie. A ja używam tej biblioteki sporo w swoich projektach, więc musiałem zareagować, a w międzyczasie popełniłem niniejszą notatkę.
Tu CVE-2022-3602 jest opis luki w oryginale. Myk polega na tym że w pewnych warunkach przy walidacji certyfikatu X.509 za pomocą OpenSSL może nastąpić przepełnienie bufora na stosie, co może skutkować atakiem DoS (tu przeczytasz co to jest atak DoS i DDoS), albo nawet potencjalnie uruchomieniem złośliwego kodu. Największy problem polega na tym że złodziej może specjalnie przygotować certyfikat w taki sposób aby celowo wywołać awarię atakowanego serwisu. Oczywiście, musi wiedzieć że korzystać z OpenSSL w wersji 3.0.0, ale i tak liczba firm posługujących się OpenSSL 3.0.0 idzie co najmniej w setki tysiąc.
Otóż, warto zaktualizować OpenSSL do wersji 3.0.7, chyba że jak czytasz ten tekst to już jest dostępna nowsza wersja, bo w dniu publikacji niniejszej notatki już jest dostępna wersja 3.1 ale Alpha (czyli do testów), więc do produkcji dalej jest 3.0.7.
Aktualna wersja OpenSSL dostepna do pobrania pod tym linkiem. W większości wypadków biblioteka OpenSSL wymaga ręcznej kompilacji, ale ten kto używa OpenSSL pewnie o tym wie i sobie poradzi.
W razie pytań zachęcam do pisania komentarzy pod tym artykułem.
Dziękuję że jesteście!
Jeśli znalazłe[-a]ś w tekście, literówkę, błąd stylistyczny albo inny błąd językowy - bardzo proszę o napisanie poprawki w komentarzu pod artykułem albo przez formularz kontaktowy. Dziękuję!