В OpenSSL пропатчена уязвимость, грозящая удаленным выполнением кода
Главная » Новости

В OpenSSL пропатчена уязвимость, грозящая удаленным выполнением кода

Татьяна Никитина 07 Июля 2022 - 20:35
...
В OpenSSL пропатчена уязвимость, грозящая удаленным выполнением кода

Кураторы популярного проекта OpenSSL выпустили патч для уязвимости, потенциально позволяющей удаленно выполнить вредоносный код на сервере. Пользователям настоятельно рекомендуется обновить криптобиблиотеку до сборки 3.0.5.

Опасная ошибка, которой был присвоен идентификатор CVE-2022-2274, классифицируется как переполнение буфера в куче. Уязвимость была привнесена с выпуском OpenSSL 3.0.4 в июне; причиной является некорректная реализация генератора 2048-битных ключей RSA для CPU c архитектурой x86_64 и поддержкой набора инструкций AVX-512.

Согласно бюллетеню (TXT), проблема затрагивает серверы SSL/TLS и иные, использующие закрытые ключи RSA-2048. Эксплойт возможен лишь в том случае, когда сервер запущен на машине, отвечающей вышеназванным условиям, и открывает возможность для удаленного выполнения стороннего кода.

О несовершенстве релиза OpenSSL 3.0.4 разработчики узнали на следующий день после выпуска — от аспиранта Сианьского университета электронных наук и технологий (Китай). Автор отчета также придумал, как исправить ситуацию, и его вариант патча был включен в состав обновления 3.0.5.

В той же (июньской) сборке была обнаружена другая, менее опасная уязвимость — CVE-2022-2097. Как выяснилось, при прогоне AES в режиме OCB на платформах 32-бит x86 с использованием расширения системы команд AES-NI данные при определенных условиях шифруются не полностью, что грозит утечкой. Проблема актуальна для ветки 3.0 и релиза OpenSSL 1.1.1; патч содержат выпуски 3.0.5 и 1.1.1q.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Каждое третье внедрение ИИ в бизнесе не взлетает из-за ограничений ИБ
Олеся Афанасьева 03 Сентября 2025 - 18:06
GenAI (генеративный искусственный интеллект) Общее
Каждое третье внедрение ИИ в бизнесе не взлетает из-за ограничений ИБ

Проблемы с согласованием, нехватка компетенций и страх «не взлетит» — именно так сегодня выглядит барьер на пути к полноценному внедрению ИИ-решений в бизнес-процессы. Свежие цифры прозвучали на конференции «Tech2B Conf: путь реалиста».

Главный барьер — человек, за ним ИБ

По данным исследования Сколково, 50% компаний сталкиваются с сопротивлением изменениям: сотрудники не готовы работать по-новому. На втором месте — ограничения со стороны ИБ-службы: 36% респондентов не получают согласования для запуска ИИ-пилотов. Столько же боятся потратить ресурсы впустую.

 

Ещё один фактор — высокая стоимость внедрения: её назвали 29% участников. В числе других барьеров:

  • 21% — нехватка ИТ- и отраслевых компетенций
  • 14% — отсутствие успешных кейсов

Представители цифровых департаментов компаний Росатом, К2Тех, ЕвроХим, ПИК, MWS AI обсуждали, какие гипотезы по внедрению ИИ стоит доводить до пилота, а какие — проще сразу закрыть. Один из выводов: без прозрачного процесса согласования, где в команде будут не только техспециалисты, но и юристы, безопасники и экономисты, запуск ИИ-продукта в прод невозможен.

Технологии: рынок пока под контролем внешнего ПО

Отдельно обсуждалась структура ИИ-рынка. Согласно исследованию, 80% решений, используемых в бизнесе в России, — это зарубежные open-source модели. На отечественные проприетарные ИИ-платформы приходится 13%, и лишь 8% используют российские разработки с открытым исходным кодом.

 

Для критически важных отраслей это означает дополнительные риски как в части ИБ, так и в вопросах технологического суверенитета.

 

Шесть условий, при которых ИИ «взлетает»

Участники сессии выделили шесть ключевых факторов, которые позволяют ИИ-проекту дойти до внедрения:

  1. Внутренний амбассадор — сильный первый заказчик.
  2. Короткий time-to-market — нельзя давать бизнесу «устать» от пилота.
  3. Платформенный подход — не зацикливаться на одной модели.
  4. Измеримый эффект — понятный бизнесу результат.
  5. Комплексное планирование — общий план развития и портфель решений.
  6. Команда от бизнеса — люди, которые понимают задачи клиента.

При этом критически важна точка остановки — момент, когда нужно принять решение: масштабировать или свернуть проект. Такой подход позволяет накапливать опыт и избегать стратегических провалов, в том числе связанных с ИБ. 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В 2025 году 70% кибератак на науку и образование в России связаны с выкупом
Новость
В 2025 году 70% кибератак на науку и образование в России св...
Louis Vuitton подтвердила утечку данных клиентов в результате кибератаки
Новость
Louis Vuitton подтвердила утечку данных клиентов в результат...
Злоумышленники усиливают атаки на российских автомобилистов
Новость
Злоумышленники усиливают атаки на российских автомобилистов

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.