Команда OpenSSL Project выпустила крупное обновление, устраняющее как миниму восемь уязвимостей. Согласно описанию, пропатченные бреши ставят пользователей OpenSSL под угрозу кибератак.
Наиболее опасный баг — несоответствие используемых типов данных (type confusion) под идентификатором CVE-2023-0286. Эта уязвимость позволяет атакующему передать произвольные указатели на вызов memcmp и прочитать содержимое памяти. CVE-2023-0286 также можно использовать для DoS.
Разработчики OpenSSL присвоили CVE-2023-0286 высокую степень риска, при этом отметив, что брешь, скорее всего, затрагивает только те приложения, которые используют собственную функциональность для получения CRL по Сети.
Семь других проблем получили среднюю степень опасности. Организациям, использующим OpenSSL версий 3.0, 1.1.1 и 1.0.2 настоятельно рекомендуется как можно скорее установить вышедшие обновления.
С полным списком закрытых дыр можно ознакомиться в официальном уведомлении (TXT) OpenSSL.
