Az OpenSSL az elmúlt 6 év első kritikus sebezhetőségét javítja

Az OpenSSL Projekt tájékoztatót adott ki, miszerint egy hamarosan megjelenő frissítés egy kritikus sebezhetőséget fog befoltozni a nyílt forráskódú kriptográfiai és biztonságos kommunikációs eszközkészletben.

Az OpenSSL 3.0.7-es verziója november 1-jén érkezik. Részleteket nem közöltek, azonban a leírás szerint ez egy biztonsági hibajavító kiadás, amely egy kritikusnak minősített sebezhetőség javítását tartalmazza majd. A probléma nem érinti az OpenSSL 3.0 előtti verzióit. Az OpenSSL az 1.1.1s verzió kiadására is készül, amely egy ugyanarra a napra tervezett hibajavító kiadás.

2016 szeptembere óta ez az első kritikus sebezhetőség, amelyet az OpenSSL-ben javítanak, és csak a második olyan hiba, amely hivatalosan kritikus súlyosságú minősítést kapott.

Az OpenSSL Project

  • 2014-ben kezdte el a sebezhetőségek súlyossági besorolását, amikor a hírhedt Heartbleed sebezhetőség napvilágot látott. A Heartbleed nyilvánosságra kerülése óta az OpenSSL biztonsága jelentősen fejlődött.
  • Nagyjából egy tucatnyi magas súlyosságú problémát fedeztek fel 2014 és 2017 között.
  • 2020-ig nem azonosítottak további magas súlyosságú sebezhetőségeket, amikor két hiba is megkapta ezt a minősítést.
  • Három magas súlyosságú problémát találtak 2021-ben, és kettőt 2022-ben.

(securityweek.com)