V úterý dne 25. října bylo oznámeno objevení kritických zranitelností v šifrovací knihovně OpenSSL. Zranitelnosti byly naštěstí odhaleny v rámci bezpečnostního auditu a podrobnější informace tak doputovaly k veřejnosti společně se záplatou. Ihned po zveřejnění jsme pro naše zákazníky všechny projekty prověřili.

Jedná se o zranitelnosti CVE-2022-3786 a CVE-2022-3602 umožňující vzdálené spuštění kódu zneužitím buffer overflow. Předběžná oznámení popisovala úroveň těchto zranitelností jako CRITICAL. Další analýzy však vedly k tomu, že úroveň byla snížená na HIGH.

Zranitelnost se týká systémů, které:

• používají OpenSSL ve verzi 3.0.0 až 3.0.6
• ověřují certifikáty X.509 přijaté z nedůvěryhodných zdrojů, např. klienty TLS a servery TLS používající ověřování klienta pomocí TLS

Kompletní informace o zranitelnosti jsou dostupné v oficiálním oznámení.

Na základě prověření můžeme všechny naše zákazníky ubezpečit, že našich systémů se zranitelnosti netýkají.

Všem přesto doporučujeme, aby, stejně jako my, u všech nasazení prověřili závislosti na knihovnách a co nejdříve upgradovali zasažené systémy na verze používající OpenSSL 3.0.7.

Úvodní ilustrace: Padlock icons created by Pixel perfect – Flaticon