Команда проекта OpenSSL объявила, что 1 ноября 2022 года будет выпущен OpenSSL версии 3.0.7, которая исправит критическую уязвимость в популярной криптографической библиотеке с открытым исходным кодом. Ей, в том числе пользуется Starliner.
OpenSSL – вспомогательная программа (библиотека), использующаяся повсеместно: в веб-серверах, домашних и промышленных роутерах, смартфонах, устройствах безопасности, VPN, антивирусах, веб-серверах (сайтах), то есть, практически везде. Она поддерживает почти все низкоуровневые алгоритмы хеширования, шифрования и электронной подписи, а также реализует большинство популярных криптографических стандартов, в том числе позволяет создавать ключи RSA, DH, DSA, сертификаты X.
Так вот, авторы программы уведомили, что в коде OpenSSL обнаружены баги, которые позволяют пользователю совершить противоправные действия в удаленном режиме. Обнаружившие проблему эксперты не разглашают деталей. Видимо, чтобы не дать хакерам наводку, как использовать уязвимость. Но, судя по степени критичности, это либо RCE, либо компрометация ключей.
?Факт остается фактом: масштаб проблемы у OpenSSL больше, чем у нашумевшей log4j (когда под угрозой взлома оказались треть сайтов, работающих по всему миру).
На данный момент критическая уязвимость обнаружена во всех версиях OpenSSL новее 3.0.
?Из позитивного – старые версии программы, например, 1.1 – не затронуты.
❗️Внимание! Патч (update) будет выпущен 1 ноября 2022 между 13.00 и 17.00 UTC. После этого в поддерживаемых дистрибутивах и прошивках появятся обновленные пакеты.
Starliner в курсе проблемы, и наши специалисты готовы к закрытию уязвимости сразу по выходу обновления.
?Настоятельно рекомендуем передать информацию всем вашим знакомым IT-специалистам.
Источник: Forthcoming OpenSSL Releases