Последние патчи для OpenSSL исправили две уязвимости, которые опаснее SSL Heartbleed

Последние патчи для OpenSSL исправили две уязвимости, которые опаснее SSL Heartbleed

Одну из них обнаружил обычный китайский студент.

image

Первая уязвимость, отслеживаемая как CVE-2022-2274 , была обнаружена аспирантом университета Сидянь 22 июня 2022 года. Мы сообщали о ней еще до выхода патча, однако тогда было неизвестно, возможно ли использовать уязвимость для удаленного выполнения вредоносного кода. В своем последнем сообщении разработчики назвали CVE-2022-2274 серьезной ошибкой в реализации RSA и подтвердили, что уязвимость можно использовать для удаленного выполнения вредоносного кода на устройстве, выполняющем вычисления.

Вторая уязвимость, отслеживаемая как CVE-2022-2097 , может привести к утечке данных при шифровании с помощью AES-OCB. В специальных инструкциях ускорения AES от Intel была допущена ошибка, которая при шифровании N блоков данных выполняет цикл не от 1 до N, а от 1 до N-1. Это означает, что последний блок данных не будет зашифрован и останется в исходном виде.

Обе уязвимости исправлены в последних версиях OpenSSL, поэтому разработчики проекта рекомендуют пользователям как можно скорее применить выпущенные обновления.


Мир на грани катастрофы и только те, кто подпишется на наш телеграм канал, смогут выжить в Киберапокалипсисе!