Zranitelnosti knihovny OpenSSL ve verzi 3

V úterý 1. listopadu 2022 byla vývojáři vydaná knihovna OpenSSL ve verzi 3.0.7, která opravuje zranitelnosti CVE-2022-3602 a CVE-2022-3786, obě označené na stupnici závažnosti zranitelnosti stupněm Vysoká. Tyto zranitelnosti byly do knihovny začleněny až od verze 3.0.0. Starší a stále velmi rozšířené verze knihovny 1.0 a 1.1 nejsou těmito zranitelnostmi zasaženy.

Obě zranitelnosti byly způsobeny chybnou konverzí e-mailové adresy nacházející se v X.509 certifikátech a týkají se využití knihovny jak na straně serveru, tak na straně klienta. Potenciální útočník tak může pomocí speciálně vytvořeného certifikátu způsobit pád aplikace, a tím odepření služby, ve specifických situacích i vzdálené spuštění kódu.

Původně vývojáři oznámili, že závažnost těchto zranitelností bude označena jako kritická. Díky moderním mitigačním technikám použitým v nových operačních systémech je ale zneužití těchto zranitelností ke vzdálenému spuštění kódu obtížné až nemožné. Zranitelnost byla do kódu začleněna až ve verzi 3.0.0 vydané v roce 2021, a proto se dá předpokládat, že je využívána primárně na operačních systémech, u kterých jsou tyto mitigační techniky aktivní.

Více informací zde.

Zvýšené riziko DDoS útoků

NÚKIB upozorňuje na zvýšené riziko DDoS útoků proti České republice a tuzemským subjektům. V posledním měsíci, mj. v kontextu geopolitické situace ve východní Evropě, eviduje v České republice výrazný nárůst počtu útoků tohoto typu.

Byť mají DDoS útoky obvykle spíše krátkodobý dopad, a to především na fungování webů či služeb na ně navázaných, doporučuje NÚKIB ostražitost a implementaci opatření zmíněných v příloze. Zároveň upozorňuje, že z důvodu DDoS útoků může dojít k dočasným výpadkům systémů, a to včetně kritických služeb (např. portály veřejné správy).

Více informací naleznete na tomto odkazu.

Zdroj: nukib.cz; JM