Zaktualizuj OpenSSL do wersji 3.0.7 lub wyższej bo znaleziono krytyczną lukę

13-12-2022 | 10:00
Komentarze (0)0
Bezpieczeństwo
Kurs online WordPress dla początkujących.
Kurs online WordPress dla początkujących.
W OpenSSL od wersji 3.0.0 do 3.0.6 włącznie znaleziono krytyczną lukę w bezpieczeństwie, związaną z przepełnieniem bufora, umożliwiającą DoS atak.

Najczęściej czytane

Zaktualizuj OpenSSL do wersji 3.0.7 lub wyższejZaktualizuj OpenSSL do wersji 3.0.7 lub wyższej

Witajcie na blogu informatycznym! Niedawno od kolegi dowiedziałem się że w bibliotece OpenSSL znaleziono lukę w bezpieczeństwie. A ja używam tej biblioteki sporo w swoich projektach, więc musiałem zareagować, a w międzyczasie popełniłem niniejszą notatkę.

Tu CVE-2022-3602 jest opis luki w oryginale. Myk polega na tym że w pewnych warunkach przy walidacji certyfikatu X.509 za pomocą OpenSSL może nastąpić przepełnienie bufora na stosie, co może skutkować atakiem DoS (tu przeczytasz co to jest atak DoS i DDoS), albo nawet potencjalnie uruchomieniem złośliwego kodu. Największy problem polega na tym że złodziej może specjalnie przygotować certyfikat w taki sposób aby celowo wywołać awarię atakowanego serwisu. Oczywiście, musi wiedzieć że korzystać z OpenSSL w wersji 3.0.0, ale i tak liczba firm posługujących się OpenSSL 3.0.0 idzie co najmniej w setki tysiąc.

Otóż, warto zaktualizować OpenSSL do wersji 3.0.7, chyba że jak czytasz ten tekst to już jest dostępna nowsza wersja, bo w dniu publikacji niniejszej notatki już jest dostępna wersja 3.1 ale Alpha (czyli do testów), więc do produkcji dalej jest 3.0.7.

Aktualna wersja OpenSSL dostepna do pobrania pod tym linkiem. W większości wypadków biblioteka OpenSSL wymaga ręcznej kompilacji, ale ten kto używa OpenSSL pewnie o tym wie i sobie poradzi.

W razie pytań zachęcam do pisania komentarzy pod tym artykułem.

Dziękuję że jesteście!

Kurs online WordPress dla początkujących.
Kurs online WordPress dla początkujących.

Jeśli znalazłe[-a]ś w tekście, literówkę, błąd stylistyczny albo inny błąd językowy - bardzo proszę o napisanie poprawki w komentarzu pod artykułem albo przez formularz kontaktowy. Dziękuję!

Autor artykułu: Sergiusz Diundyk.

Komentarze

Na razie brak komentarzy. Dodaj pierwszy komentarz do artykułu!
Dodaj nowy komentarz:

 Oświadczam że przeczytałe[-a]m Regulamin i akceptuję go w całości i bezwarunkowo.
 
Imię lub pseudonim
 
Twój komentarz
Wyślij komentarz
Zoom
Ok