پروژه OpenSSL وصلههایی را برای رفع دو نقص با شدت بالا در cryptography library ارائه کرده است که میتوانند منجر به انکار سرویس (DoS) و اجرای کد از راه دور شوند.
این آسیبپذیریها که با عناوین CVE-2022-3602 و CVE-2022-3786 ردیابی میشوند، بعنوان آسیبپذیریهای buffer overrun توصیف شدهاند که میتوانند در طول تأیید گواهی X.509 با ارائه یک آدرس ایمیل جعلی، فعال شوند.
نسخههای 3.0.0 تا 3.0.6 این کتابخانه تحتتأثیر نقصهای جدید هستند و نقصها در نسخه 3.0.7 اصلاح شدهاند.
همچنین نسخههای OpenSSL 1.x در برابر این نقص آسیبپذیر نیستند.
طبق دادههای به اشتراک گذاشته شده توسط Censys، حدود 7062 هاست از 30 اکتبر 2022 نسخه آسیبپذیر OpenSSL را اجرا میکنند که اکثریت آنها در ایالاتمتحده، آلمان، ژاپن، چین، چک، بریتانیا، فرانسه، روسیه، کانادا و هلند قرار دارند.
آسیبپذیری CVE-2022-3602 در ابتدا بعنوان یک آسیبپذیری بحرانی در نظر گرفته میشد، اما شدت آن اکنون به High کاهش یافته است.
محققان امنیتی Polar Bear و Viktor Dukhovni مسئول کشف و گزارش این آسیبپذیریها شناخته شدهاند.
شرکت امنیتی Rapid7 اشاره کرد که قابلیت بهرهبرداری از نقصها بهطور قابل توجهی محدود است، زیرا نقصها پس از تأیید گواهی رخ میدهند.
نسخههای 3.0.0 تا 3.0.6 این کتابخانه تحتتأثیر نقصهای جدید هستند و نقصها در نسخه 3.0.7 اصلاح شدهاند.
همچنین نسخههای OpenSSL 1.x در برابر این نقص آسیبپذیر نیستند.
طبق دادههای به اشتراک گذاشته شده توسط Censys، حدود 7062 هاست از 30 اکتبر 2022 نسخه آسیبپذیر OpenSSL را اجرا میکنند که اکثریت آنها در ایالاتمتحده، آلمان، ژاپن، چین، چک، بریتانیا، فرانسه، روسیه، کانادا و هلند قرار دارند.
آسیبپذیری CVE-2022-3602 در ابتدا بعنوان یک آسیبپذیری بحرانی در نظر گرفته میشد، اما شدت آن اکنون به High کاهش یافته است.
محققان امنیتی Polar Bear و Viktor Dukhovni مسئول کشف و گزارش این آسیبپذیریها شناخته شدهاند.
شرکت امنیتی Rapid7 اشاره کرد که قابلیت بهرهبرداری از نقصها بهطور قابل توجهی محدود است، زیرا نقصها پس از تأیید گواهی رخ میدهند.