V úterý dne 25. října bylo oznámeno objevení kritických zranitelností v šifrovací knihovně OpenSSL. Zranitelnosti byly naštěstí odhaleny v rámci bezpečnostního auditu a podrobnější informace tak doputovaly k veřejnosti společně se záplatou. Ihned po zveřejnění jsme pro naše zákazníky všechny projekty prověřili.
Jedná se o zranitelnosti CVE-2022-3786 a CVE-2022-3602 umožňující vzdálené spuštění kódu zneužitím buffer overflow. Předběžná oznámení popisovala úroveň těchto zranitelností jako CRITICAL. Další analýzy však vedly k tomu, že úroveň byla snížená na HIGH.
Zranitelnost se týká systémů, které:
- používají OpenSSL ve verzi 3.0.0 až 3.0.6
- ověřují certifikáty X.509 přijaté z nedůvěryhodných zdrojů, např. klienty TLS a servery TLS používající ověřování klienta pomocí TLS
Kompletní informace o zranitelnosti jsou dostupné v oficiálním oznámení.
Na základě prověření můžeme všechny naše zákazníky ubezpečit, že našich systémů se zranitelnosti netýkají.
Všem přesto doporučujeme, aby, stejně jako my, u všech nasazení prověřili závislosti na knihovnách a co nejdříve upgradovali zasažené systémy na verze používající OpenSSL 3.0.7.
Úvodní ilustrace: Padlock icons created by Pixel perfect – Flaticon