Colin Thierry
Gepubliceerd op: 2 november 2022
Het OpenSSL-project heeft onlangs twee zeer ernstige beveiligingsfouten gepatcht in zijn open-source cryptografische bibliotheek die wordt gebruikt om communicatiekanalen en HTTPS-verbindingen te versleutelen.
Deze kwetsbaarheden (CVE-2022-3602 en CVE-2022-3786) gevolgen hebben voor OpenSSL versie 3.0.0 en hoger en zijn behandeld in OpenSSL 3.0.7.
CVE-2022-3602 kan worden misbruikt om crashes of externe code-uitvoering (RCE) te veroorzaken, terwijl CVE-2022-3786 door bedreigingsactoren kan worden gebruikt via kwaadaardige e-mailadressen om een denial of service-status te activeren.
"We beschouwen deze problemen nog steeds als ernstige kwetsbaarheden en getroffen gebruikers worden aangemoedigd om zo snel mogelijk te upgraden", zei het OpenSSL-team in een verklaring. verklaring op dinsdag.
"We zijn niet op de hoogte van enige werkende exploit die zou kunnen leiden tot uitvoering van code op afstand, en we hebben geen bewijs dat deze problemen worden misbruikt vanaf het moment van uitgave van dit bericht", voegde het eraan toe.
Volgens OpenSSL's veiligheidsbeleid, bedrijven (zoals ExpressVPN) en IT-beheerders waren waarschuwde vorige week om hun omgevingen te doorzoeken op kwetsbaarheden en zich voor te bereiden om ze te patchen zodra OpenSSL 3.0.7 is uitgebracht.
"Als je van tevoren weet waar je OpenSSL 3.0+ gebruikt en hoe je het gebruikt, kun je wanneer het advies komt snel bepalen of en hoe je wordt beïnvloed en wat je moet patchen," zei OpenSSL-oprichter Mark J Cox in een Twitter-bericht.
OpenSSL bood ook beperkende maatregelen waarbij beheerders die Transport Layer Security (TLS)-servers gebruiken, de TLS-clientverificatie moesten uitschakelen totdat de patches waren toegepast.
De impact van de kwetsbaarheden was veel beperkter dan aanvankelijk werd gedacht, aangezien CVE-2022-3602 is gedowngraded van kritiek naar zeer ernstig en alleen van invloed is op OpenSSL 3.0 en latere instanties.
Per cloudbeveiligingsbedrijf Wiz.io, bleek slechts 1.5% van alle OpenSSL-instanties te worden getroffen door de beveiligingsfout na analyse van implementaties in grote cloudomgevingen (inclusief AWS, GCP, Azure, OCI en Alibaba Cloud).
Ook het Nationaal Cyber Security Centrum van Nederland deelde een lijst van de softwareproducten waarvan is bevestigd dat ze niet worden beïnvloed door de OpenSSL-kwetsbaarheid.
