OpenSSL устранил две распиаренные уязвимости, но всё не так страшно

OpenSSL устранил две распиаренные уязвимости, но всё не так страшно

OpenSSL устранил две распиаренные уязвимости, но всё не так страшно

Обновления OpenSSL касаются уязвимостей в криптографической библиотеке с открытым исходным кодом. Дыры могли привести к DoS-атаке и удаленному выполнению кода. Вторжение грозило семи тысячам хостов по всему миру.

Патчи анонсировали заранее, релиз состоялся накануне.

Уязвимости CVE-2022-3602 и CVE-2022-3786 связаны с переполнением буфера, злоумышленники могли использовать их во время проверки сертификата X.509, подставив специально созданный адрес электронной почты.

“В TLS-клиенте это могло привести к подключению вредоносного сервера”, — говорится в сообщении OpenSSL для CVE-2022-3786. — На TLS-сервере вредонос мог подключиться в момент запроса аутентификации клиента”.

3.0.7 также устранили баги предыдущих версий библиотек — с 3.0.0 по 3.0.6. Отмечается, что популярные версии OpenSSL 1.x в порядке и не имеют уязвимостей.

По данным Censys на 30 октября 2022 года, около 7 тыс. хостов использовали уязвимую версию OpenSSL. Большинство из них находятся в США, Германии, Японии, Китае, Чехии, Великобритании, Франции, России, Канаде и Нидерландах.

О новых сигнатурах, обнаруживающих атаки, связанные с переполнением буфера в OpenSSL, заявила сегодня компания UserGate.

“Центр мониторинга и реагирования UserGate добавил в “Систему обнаружения вторжений” (СОВ) UserGate две новые сигнатуры, позволяющие детектировать атаки с использованием уязвимостей CVE-2022-3602 и CVE-2022-3786”, — говорится на сайте организации.

Уязвимость заключается в переполнении буфера в tls-полях id-ce-subjectAltName и id-ce-nameConstraints при использовании кодировки Punycode. Это может привести к удаленному выполнению кода. Злоумышленник выполняет tls-запрос с аутентификацией по специально созданному сертификату, что приведет к переполнению буфера.

Отмечается, что продукты компании UserGate не подвержены этой уязвимости. А со списком базовых инструментов с пометкой о подверженности уязвимостям в протоколе OpenSSL можно ознакомиться на GitHub.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Баскетболисту Касаткину суд отказал в освобождении из-под стражи

Парижский суд отклонил ходатайство российского баскетболиста Даниила Касаткина об освобождении под судебный надзор. Заседание прошло без объяснения причин такого решения, несмотря на доводы защиты. Таким образом, спортсмен останется под арестом до следующих слушаний по делу об экстрадиции.

Российский баскетболист Даниил Касаткин был задержан во Франции в конце июня по запросу властей США. Однако известно об этом стало лишь спустя почти две недели.

Касаткину инкриминируется участие в переговорах от имени группировки операторов программ-вымогателей. По данным следствия, от действий злоумышленников пострадали около 900 американских организаций, включая два государственных агентства. Сам спортсмен все обвинения отрицает.

«Факты, вменяемые Касаткину в вину, крайне серьёзные: от его действий пострадали 900 американских компаний. Безумие считать гарантии Касаткина достаточными», — цитирует РИА Новости Спорт слова представителя обвинения в суде.

В начале заседания судья отметила, что в США Касаткину может грозить до 25 лет лишения свободы по статьям о компьютерном и электронном мошенничестве.

В итоге суд отклонил прошение об освобождении под судебный надзор. Как сообщил адвокат баскетболиста Фредерик Бело, слушания по вопросу экстрадиции в США назначены на сентябрь.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru