Последние патчи для OpenSSL исправили две уязвимости, которые опаснее SSL Heartbleed

Последние патчи для OpenSSL исправили две уязвимости, которые опаснее SSL Heartbleed

Одну из них обнаружил обычный китайский студент.

Первая уязвимость , отслеживаемая как CVE-2022-2274 , была обнаружена аспирантом университета Сидянь 22 июня 2022 года. Мы сообщали о ней еще до выхода патча, однако тогда было неизвестно, возможно ли использовать уязвимость для удаленного выполнения вредоносного кода. В своем последнем сообщении разработчики назвали CVE-2022-2274 серьезной ошибкой в реализации RSA и подтвердили, что уязвимость можно использовать для удаленного выполнения вредоносного кода на устройстве, выполняющем вычисления.

Вторая уязвимость, отслеживаемая как CVE-2022-2097 , может привести к утечке данных при шифровании с помощью AES-OCB. В специальных инструкциях ускорения AES от Intel была допущена ошибка, которая при шифровании N блоков данных выполняет цикл не от 1 до N, а от 1 до N-1. Это означает, что последний блок данных не будет зашифрован и останется в исходном виде.

Обе уязвимости исправлены в последних версиях OpenSSL, поэтому разработчики проекта рекомендуют пользователям как можно скорее применить выпущенные обновления.

Взломают завтра? как математика предсказывает кибератаки

31 марта в 14:00 — SuperHardio Brothers* раскрывают, как превратить математическое моделирование времени атак в конкурентное преимущество вашей компании.

Реклама. АО «Позитив Текнолоджиз», ИНН 7718668887 *герои-эксперты харденинга