Команда проекта OpenSSL объявила, что 1 ноября 2022 года будет выпущен OpenSSL версии 3.0.7, которая исправит критическую уязвимость в популярной криптографической библиотеке с открытым исходным кодом. Ей, в том числе пользуется Starliner.
OpenSSL – вспомогательная программа (библиотека), использующаяся повсеместно: в веб-серверах, домашних и промышленных роутерах, смартфонах, устройствах безопасности, VPN, антивирусах, веб-серверах (сайтах), то есть, практически везде. Она поддерживает почти все низкоуровневые алгоритмы хеширования, шифрования и электронной подписи, а также реализует большинство популярных криптографических стандартов, в том числе позволяет создавать ключи RSA, DH, DSA, сертификаты X.
Так вот, авторы программы уведомили, что в коде OpenSSL обнаружены баги, которые позволяют пользователю совершить противоправные действия в удаленном режиме. Обнаружившие проблему эксперты не разглашают деталей. Видимо, чтобы не дать хакерам наводку, как использовать уязвимость. Но, судя по степени критичности, это либо RCE, либо компрометация ключей.
🔺Факт остается фактом: масштаб проблемы у OpenSSL больше, чем у нашумевшей log4j (когда под угрозой взлома оказались треть сайтов, работающих по всему миру).
На данный момент критическая уязвимость обнаружена во всех версиях OpenSSL новее 3.0.
🔺Из позитивного – старые версии программы, например, 1.1 – не затронуты.
❗️Внимание! Патч (update) будет выпущен 1 ноября 2022 между 13.00 и 17.00 UTC. После этого в поддерживаемых дистрибутивах и прошивках появятся обновленные пакеты.
Starliner в курсе проблемы, и наши специалисты готовы к закрытию уязвимости сразу по выходу обновления.
🔺Настоятельно рекомендуем передать информацию всем вашим знакомым IT-специалистам.
Источник: Forthcoming OpenSSL Releases