• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

News В OpenSSL исправлены две популярные уязвимости

openssl.jpg

Обновления OpenSSL уязвимости в криптографической библиотеке с открытым исходным кодом. Бреши могли привести к DoS-атаке и удаленному выполнению кода. По данным Censys на конец октября, около 7000 серверов использовали уязвимую версию.

Исправления к ошибкам анонсировали заранее. Уязвимости CVE-2022-3602 и CVE-2022-3786 связаны с переполнением буфера, злоумышленники могли использовать их при проверки сертификата X.509, подставив специально созданный адрес электронной почты.

Уязвимости заключаются в переполнении буфера в TLS-полях id-ce-subjectAltName и id-ce-nameConstraints при использовании кодировки Punycode. Это может привести к удаленному выполнению кода. Для этого злоумышленнику надо было выполнитьTLS-запрос с аутентификацией по специально созданному сертификату, что и привело бы к переполнению буфера.

В новой версии 3.0.7 также устранили баги предыдущих версий библиотек - с 3.0.0 по 3.0.6. Отмечается, что популярные версии OpenSSL 1.x в порядке и не имеют уязвимостей.
 
  • Нравится
Реакции: Mogen
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!