خبر تکمیلی : انتشار به روز رسانی جدید OpenSSL و رفع دو آسیب پذیری آن

پیرو خبر هشدار امنیتی در خصوص آسیب پذیری بحرانی در OpenSSL مورخ 1401/08/09 و اطلاع رسانی OpenSSL، به روز رسانی جدید نسخه 3.0.7 منتشر شد.
این دو آسیب پذیری با شماره شناسایی CVE-2022-3602 وCVE-2022-3786  که ورژن های 3.0.0 تا 3.0.6 را تحت تاثیر قرار میدهد، در نسخه جدید رفع شده است.
آسیب پذیری CVE-2022-3602 می تواند باعث کرش شده و یا امکان اجرای کد از راه دور را به مهاجم بدهد و CVE-2022-3786 می تواند توسط مهاجمین از طریق آدرس ایمیل های مخرب مورد سواستفاده قرار گرفته و حالت انکار سرویس را از طریق سرریز بافر ایجاد می کند.
طبق اعلام OpenSSL این حفره های امنیتی می توانند جدی باشند و کاربران را با مشکل روبرو کنند پس بهتر است در سریعترین زمان ممکن به نسخه جدید ارتقا داده شود.
همچنین اعلام کردند که تا این لحظه گزارشی مبنی بر بهره برداری و اجرای کد از راه دور از طریق این آسیب پذیری ها نداشته اند.
در ضمن OpenSSL شرایطی را فراهم کرده است و مدیران سرورهای TLS را ملزم می‌کند که تایید اعتبار کلاینت TLS را تا زمانی که وصله‌ها اعمال شوند، غیرفعال کنند.
در حالیکه هشدارهایی به ادمین ها برای اقدام سریع در این خصوص شده اما با توجه به تاثیر کم آسیب پذیری CVE-2022-3602، این آسیب پذیری بجای دسته “حیاتی” در رده آسیب پذیری ها با شدت بالا قرار می گیرد.
مرکز امنیت سایبری ملی هلند، لیستی از نرم افزارهای تایید شده ای که تحت تاثیر آسیب پذیری OpenSSL هستند، منتشر نموده است.
آخرین ورژن های OpenSSL در تازه ترین نسخه های پرطرفدار لینوکس Red hat Enterprise Linux 9، Ubuntu 22.04+، CentOS Stream9، Kali 2022.3، Debian 12 و Fedora 36 وجود دارد و به عنوان آسیب پذیر توسط برخی از شرکت های امنیت سایبری مشخص شده است.

منبع :
https://www.bleepingcomputer.com/

https://www.openssl.org//