-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Krytyczna podatność RCE w OpenSSL, ale (raczej) nie ma powodów do paniki. CVE-2022-2274

06 lipca 2022, 09:30 | W biegu | 1 komentarz

OpenSSL wypuścił właśnie łatkę, informując o luce:

Heap memory corruption with RSA private key operation (CVE-2022-2274). The OpenSSL 3.0.4 release introduced a serious bug in the RSA implementation for X86_64 CPUs supporting the AVX512IFMA instructions.
This issue makes the RSA implementation with 2048 bit private keys incorrect on such machines and memory corruption will happen during the computation. As a consequence of the memory corruption an attacker
may be able to trigger a remote code execution on the machine performing the computation.

Jak widać, podatność występuje tylko w wersji 3.0.4 OpenSSL a procesor musi obsługiwać instrukcję AVX512IFMA.

Tutaj z kolei mamy bardziej szczegółowy opis problemu, przy czym cały czas prawdopodobnie nie ma potwierdzonej informacji faktu exploitowalności luki.

Tak czy siak jeśli ktoś używa OpenSSL w wersji 3.0.4 warto jak najszybciej zaaplikować łatkę.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Michał

    This issue affects versions 1.1.1 and 3.0. It was addressed in the
    releases of 1.1.1q and 3.0.5 on the 5th July 2022.

    Podatne są nie tylko wersje 3.0.4 ale także 1.1.1

    Odpowiedz

Odpowiedz na Michał