top of page
Oct 31, 2022

Nova OpenSSL ranjivost ugrožava sisteme izložene Internetu

OpenSSL projektni tim je najavio da će objaviti novu verziju OpenSSL-a 1. novembra 2022. godine, koja će popraviti novu kritičnu ranjivost otkrivenu u popularnoj kriptografskoj biblioteci otvorenog koda.


U Internet web servisima, OpenSSL omogućava komunikaciju šifrovanu TLS-om, a možemo ga naći svuda - od operativnih sistema, poslovnih aplikacija do softvera web servera (Apache, nginx, itd.) i raznih mrežnih uređaja dobavljača kao što su Cisco, Fortinet, Symantec, Juniper, itd.


Nova ranjivost podseća mnoge na katastrofalnu grešku Heartbleed, otkrivenu 2014. godine, koja je mnoge navela da traže zakrpe, jer je ranjivost omogućavala napadačima da otkriju osetljive informacije kao što su lozinke i tajne, bez ikakve interakcije korisnika.


Ali ovoga puta imamo dobre vesti. Prvo, OpenSSL projektni tim je odlučio da ne objavi detalje o ranjivosti kako bi zakrpljena verzija mogla da se primeni pre nego što napadači shvate načine da iskoriste grešku.

Drugo, izgleda da nova ranjivost utiče samo na OpenSSL verzije 3.0 i novije, koje su manje rasprostranjene u korisničkim implementacijama od ranijih verzija.


Uprkos tome, organizacije će i dalje morati pažljivo da pregledaju svu svoju imovinu kako bi otkrile potencijalno ranjive sisteme, a to zahteva mnogo vremena i resursa. Kada identifikuju potencijalne ranjivosti u drugim sistemima izloženim Internetu (npr. Microsoft Exchange), organizacije koje se odluče za upravljane ili SaaS usluge su u mnogo boljoj poziciji. Pokretanje sopstvenih servera na "uradi sam" način postaje sve teže u današnjem okruženju pretnji.


OpenSSL tim generalno direktno obaveštava organizacije sa kojima projekat ima komercijalne odnose, tako da se može pretpostaviti da provajderi komercijalnih rešenja, posebno SaaS i drugih upravljanih IT usluga, već primenjuju ispravku ili će to učiniti mnogo brže od organizacija sa sopstvenim serverima koji nemaju kompletan uvid u listu svoje IT imovine.


Štaviše, vrlo vjerovatno da će ranjivosti uticati i na on-premise opremu od dobavljača, kao što su Cisco Ironport, Symantec, F5 Networks i mnogi drugi, a i ovdje će biti potrebna intervencija ručnog zakrpanja.


U svakom slučaju, pripremite se za zakrpe 1. novembra (November Patch) i saznajte više o najnovijoj OpenSSL ranjivosti ovde.




Latest news

bottom of page