OpenSSL готовится к патчу (откроется в новой вкладке) его первый критический недостаток за восемь лет. Проект OpenSSL объявил о новом обновлении программного обеспечения, которое должно исправить несколько уязвимостей в наборе инструментов с открытым исходным кодом, в том числе один недостаток, определенный как критический.
«Команда проекта OpenSSL хотела бы объявить о предстоящем выпуске OpenSSL версии 3.0.7. Этот релиз будет доступен во вторник, 1 ноября 2022 года, с 13:00 до 17:00 UTC». читает объявление (откроется в новой вкладке). «OpenSSL 3.0.7 — это выпуск исправления безопасности. Проблема наивысшей степени серьезности, исправленная в этом выпуске, является КРИТИЧЕСКОЙ».
«Примеры включают значительное раскрытие содержимого памяти сервера (потенциально раскрывающее данные пользователя), уязвимости, которые можно легко использовать удаленно для компрометации закрытых ключей сервера или когда удаленное выполнение кода считается вероятным в обычных ситуациях», — сказали разработчики.
Патч выйдет в следующем месяце
Уязвимость затрагивает версии 3.0 и новее и является второй критической уязвимостью, которую когда-либо устранял проект OpenSSL, первой из которых стала Heartbleed (CVE-2014-0160) в 2014 году.
Дата выпуска версии 3.0.7 теперь назначена на 1 ноября. Разработчики описывают ее как «выпуск с исправлением безопасности». Параллельно в тот же день будет выпущен выпуск с исправлением ошибок 1.1.1s.
Технический директор Sonatype Брайан Фокс, похоже, не слишком доволен тем, как OpenSSL Project решил проблему, заявив, что это ставит разработчиков в опасное положение:
«Все, что мы знаем до сих пор, это то, что команда считает проблему критической, это всего лишь вторая критическая уязвимость в OpenSSL с тех пор, как они начали отслеживать ошибку и последствия Heartbleed в 2014 году. Мы знаем, что это, кажется, затрагивает только версии 3.0 и выше, но не насколько широко применима или насколько легко будет использовать эту проблему, и что она будет полностью раскрыта 1 ноября».
Затем он задает три гипотетических вопроса: если компания узнает о новой уязвимости, как только что объявил OpenSSL Project, сколько времени потребуется ИТ-специалисту, чтобы узнать, использует ли его компания какую-либо версию этого компонента и где бы то ни было. в своем портфолио, в каких приложениях она использует уязвимые версии и как скоро компания сможет устранить проблему, намекая на то, что потенциальная катастрофа не за горами.
«Если вы не сможете сразу ответить на три вопроса, которые я поставил выше, у вас есть шесть дней на подготовку», — предупреждает он. “Часы тикают.”
Член основной команды OpenSSL Марк Дж. Кокс, с другой стороны, утверждает, что, поскольку подробностей об уязвимости так мало, шансы мошенников злоупотребить ею до того, как она будет исправлена, невелики. Он полагает, что информирование ИТ-отделов о выпуске исправления намного перевешивает потенциальные риски злоупотребления уязвимостью мошенниками:
«Учитывая количество изменений в версии 3.0 и отсутствие какой-либо другой контекстной информации, [threat actors going through the commit history between versions 3.0 and the current one to find anything] очень маловероятно», — написал он в Твиттере.
С помощью: Вопросы безопасности (откроется в новой вкладке)
