В OpenSSL пропатчена уязвимость, грозящая удаленным выполнением кода

В OpenSSL пропатчена уязвимость, грозящая удаленным выполнением кода

Кураторы популярного проекта OpenSSL выпустили патч для уязвимости, потенциально позволяющей удаленно выполнить вредоносный код на сервере. Пользователям настоятельно рекомендуется обновить криптобиблиотеку до сборки 3.0.5.

Опасная ошибка, которой был присвоен идентификатор CVE-2022-2274, классифицируется как переполнение буфера в куче. Уязвимость была привнесена с выпуском OpenSSL 3.0.4 в июне; причиной является некорректная реализация генератора 2048-битных ключей RSA для CPU c архитектурой x86_64 и поддержкой набора инструкций AVX-512.

Согласно бюллетеню (TXT), проблема затрагивает серверы SSL/TLS и иные, использующие закрытые ключи RSA-2048. Эксплойт возможен лишь в том случае, когда сервер запущен на машине, отвечающей вышеназванным условиям, и открывает возможность для удаленного выполнения стороннего кода.

О несовершенстве релиза OpenSSL 3.0.4 разработчики узнали на следующий день после выпуска — от аспиранта Сианьского университета электронных наук и технологий (Китай). Автор отчета также придумал, как исправить ситуацию, и его вариант патча был включен в состав обновления 3.0.5.

В той же (июньской) сборке была обнаружена другая, менее опасная уязвимость — CVE-2022-2097. Как выяснилось, при прогоне AES в режиме OCB на платформах 32-бит x86 с использованием расширения системы команд AES-NI данные при определенных условиях шифруются не полностью, что грозит утечкой. Проблема актуальна для ветки 3.0 и релиза OpenSSL 1.1.1; патч содержат выпуски 3.0.5 и 1.1.1q.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Станет медленнее: Microsoft и Netflix убрали CDN-серверы из России

Последовав примеру Google, корпорации Microsoft и Netflix решили исключить свои серверы из российской точки обмена веб-трафиком. Для пользователей это может означать медленную загрузку контента и временами нестабильную работу сервисов Microsoft и Netflix.

О решении интернет-гигантов сегодня сообщил генеральный директор MSK-IX Евгений Морозов. Речь идёт, конечно же, о Content Delivery Network — сетевой инфраструктуре, позволяющей размещать серверы максимально близко к потребителям. Владельцы крупных веб-сервисов давно используют CDN для максимально комфортного пользовательского опыта.

MSK-IX является крупнейшей в России точкой обмена трафиком, к которой подключились сотни социальных сетей, поисковиков, операторов связи, видеопорталов, провайдеров облачных сервисов и т. п.

О планах исключить CDN-серверы Microsoft из России заранее сообщали источники РБК из сферы телекоммуникаций. Причём стоит учитывать, что Microsoft и Netflix — наиболее яркие примеры компаний, поступивших таким образом. Помимо них, были ещё и многие мелкие представители индустрии.

Таким образом, сервисы для россиян будут доступны, однако их трафик проходит через глобальных провайдеров. Как уже отмечалось, это может грозить замедлением работы таких сервисов, также не исключены немногочисленные ошибки доступа.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru