top of page
Oct 31, 2022

Nova OpenSSL ranjivost prijeti sistemima koji su izloženi Internetu

Projektni tim OpenSSL je najavio da će 1. novembra 2022. objaviti novu verziju OpenSSL-a, koja će popraviti novu kritičnu ranjivost otkrivenu u popularnoj kriptografskoj biblioteci otvorenog koda.


U internetskim web uslugama, OpenSSL omogućava komunikaciju šifriranu TLS-om, a možemo ga naći svuda - od operativnih sistema, poslovnih aplikacija do softvera web servera (Apache, nginx, itd.) i raznih mrežnih uređaja dobavljača kao što su Cisco, Fortinet, Symantec, Juniper, itd.


Nova ranjivost mnoge podsjeća na katastrofalnu grešku Heartbleed, otkrivenu 2014. godine, koja je mnoge navela da traže zakrpe, jer je ranjivost omogućavala napadačima da otkriju osjetljive informacije poput lozinki i tajni, bez ikakve interakcije korisnika.


Ali ovoga puta imamo dobre vijesti. Prvo, OpenSSL projektni tim je odlučio da ne objavi detalje o ranjivosti kako bi zakrpljena verzija bila postavljena prije nego što napadači shvate načine da iskoriste nedostatak.

Drugo, čini se da nova ranjivost utječe samo na OpenSSL verzije 3.0 i novije, koje su manje rasprostranjene u korisničkim implementacijama od ranijih verzija.


Uprkos tome, organizacije će i dalje morati pažljivo pregledati svu svoju imovinu kako bi otkrile potencijalno ranjive sisteme, a to zahtijeva puno vremena i resursa. Organizacije koje se odluče za upravljane ili SaaS usluge umjesto vlastitih servera su u mnogo boljoj poziciji kada se otkriju ranjivosti poput ovih koje direktno utječu na sisteme izložene Internetu (poput Microsoft Exchangea i drugih). Pokretanje vlastitih servera na DIY način postaje sve teže u današnjem okruženju prijetnji.


OpenSSL tim uglavnom direktno informiše organizacije s kojima projekt ima komercijalni odnos, pa se može pretpostaviti da provajderi komercijalnih rješenja, posebno SaaS i drugih upravljanih IT usluga, već implementiraju popravak ili će to učiniti mnogo brže od organizacija sa vlastitim serverima koji nemaju kompletan uvid u listu svoje IT imovine.


Nadalje, vrlo vjerovatno da će ranjivosti uticati i na on-premise opremu od dobavljača, kao što su Cisco Ironport, Symantec, F5 Networks i mnogi drugi, a i ovdje će biti potrebna intervencija ručnog zakrpanja.


U svakom slučaju, pripremite se za zakrpe 1. novembra i saznajte više o najnovijoj OpenSSL ranjivosti ovdje.








Latest news

bottom of page