Patch lanciato da OpenSSL per due vulnerabilità critiche in seguito a un avviso precedente
Il progetto OpenSSL ha rilasciato una correzione per due vulnerabilità ad alto rischio martedì, dopo aver consultato diversi ricercatori della sicurezza. Queste vulnerabilità, denominate X.509 Email Address Variable Length Buffer Overflow (CVE-2022-3786) e X.509 Email Address 4-Byte Buffer Overflow (CVE-2022-3602), hanno suscitato preoccupazione nell'industria a causa delle loro possibili conseguenze.
Inizialmente, gli officiali di OpenSSL hanno avvertito le organizzazioni di prepararsi per una vulnerabilità di sicurezza critica, ma in seguito hanno ridimensionato gli avvertimenti nella nota di avviso rilasciata martedì. Nonostante le preoccupazioni iniziali siano state attenuate, l'avviso di alto rischio consiglia alle organizzazioni di prenderlo sul serio e di applicare le patch ai loro sistemi.
Duo Security, un'organizzazione specializzata in sicurezza, ha emesso un avvertimento giovedì e ha raccomandato aggiornamenti di sicurezza per OpenSSL. Hanno consigliato di aggiornare OpenSSL e i certificati a causa dell'aumento dei livelli di sicurezza SSL/TLS predefiniti e delle vulnerabilità corrette in OpenSSL 3.2.1, come dettagliato nelle note di rilascio del loro proxy di autenticazione.
La Cybersecurity and Infrastructure Security Agency (CISA) ha emesso un avviso tardivo martedì, invitando gli utenti e gli amministratori ad applicare gli aggiornamenti di sicurezza. CISA, insieme al Netherlands National Cyber Security Centrum, ha creato un repository GitHub che include una panoramica del software interessato dalla vulnerabilità.
Queste vulnerabilità potrebbero portare a crash del servizio o potenzialmente all'esecuzione remota del codice, rappresentando una minaccia significativa per i sistemi che utilizzano OpenSSL. Fox, co-fondatore e CTO di Sonatype, ha consigliato una correzione della sicurezza proattiva come opzione sicura a causa della natura sottile dei problemi di corruzione della memoria. L'aggiornamento dei sistemi è raccomandato da Fox come il modo migliore per chiudere la porta sia ora che in futuro.
La rapida diffusione delle preoccupazioni per OpenSSL non è priva di motivi. I problemi sono simili alla storica vulnerabilità Heartbleed del 2014, considerata uno dei più distruttivi eventi informatici degli ultimi decenni. Di conseguenza, gli stakeholder aziendali sono ansiosi di comprendere meglio la valutazione del rischio delle loro pile tecnologiche, con la domanda
Leggi anche:
- Tre donne anziane, affezionatamente chiamate nonne di Kaha Aden, costituiscono una parte significativa della comunità.
- Licenze di scommesse sportive per dispositivi mobili concesse a DraftKings e Circa per il lancio a dicembre nel Missouri
- Informazioni sui programmi di Medicare e di trattamento con oppiacei (OTP)
- Prolungamento della durata di sopravvivenza per i pazienti con cancro al cervello sottoposti a terapia immunitaria intensiva
