Последние патчи для OpenSSL исправили две уязвимости, которые опаснее SSL Heartbleed
Одну из них обнаружил обычный китайский студент.
Первая уязвимость , отслеживаемая как CVE-2022-2274 , была обнаружена аспирантом университета Сидянь 22 июня 2022 года. Мы сообщали о ней еще до выхода патча, однако тогда было неизвестно, возможно ли использовать уязвимость для удаленного выполнения вредоносного кода. В своем последнем сообщении разработчики назвали CVE-2022-2274 серьезной ошибкой в реализации RSA и подтвердили, что уязвимость можно использовать для удаленного выполнения вредоносного кода на устройстве, выполняющем вычисления.
Вторая уязвимость, отслеживаемая как CVE-2022-2097 , может привести к утечке данных при шифровании с помощью AES-OCB. В специальных инструкциях ускорения AES от Intel была допущена ошибка, которая при шифровании N блоков данных выполняет цикл не от 1 до N, а от 1 до N-1. Это означает, что последний блок данных не будет зашифрован и останется в исходном виде.
Обе уязвимости исправлены в последних версиях OpenSSL, поэтому разработчики проекта рекомендуют пользователям как можно скорее применить выпущенные обновления.