Upozorňujeme na novou kritickou zranitelnost v OpenSSL 3.0.X. Zranitelnost nebyla dosud zveřejněna, ale je hodnocena jako jedna z nejrizikovějších. Vzhledem k masívnímu rozšíření a používání na celém světě se dají předpokládat fatální následky.
Doporučujeme okamžitě provést výčet instancí OpenSSL používaných ve vašich systémech a připravit je na aktualizaci na OpenSSL 3.0.7, která bude vydána zítra.
Produkt |
CVSS skóre |
| OpenSSL 3.0.x | > 9.0 |
Aktualizace se má týkat pouze OpenSSL 3.0.x, nikoli 1.1.1. MacOS ve výchozím nastavení používá LibreSSL, nikoli OpenSSL. OpenSSL však může být nainstalován později pomocí jiného softwaru, jako je Homebrew a MacPorts. U většiny systémů budete moci ke kontrole nainstalované verze použít nástroj příkazového řádku OpenSSL:
% openssl version
OpenSSL 3.0.5 5 Jul 2022 (Library: OpenSSL 3.0.5 5 Jul 2022)
Mitigace
Aktualizujte všechny instance nainstalované knihovny OpenSSL 3.0.X na nejnovější verzi (3.0.7).
Reference
https://isc.sans.edu/forums/diary/Upcoming+Critical+OpenSSL+Vulnerability+What+will+be+Affected/29192
https://www.wiz.io/blog/critical-openssl-vulnerability-everything-you-need-to-know
https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html
Zdroj hlášení o zranitelnosti
Informace od výrobce ze dne 25. 10. 2022.
Projekt OpenSSL je základním prvkem zabezpečeného internetu.
Podrobnosti o zranitelnosti ještě nebyly zveřejněny, ale organizace musí být extrémně opatrné a připravit se na záplatování a aktualizace systémů.
OpenSSL je používáno tak masivně, že zranitelnost má potenciál způsobit celosvětový chaos.
Tým projektu OpenSSL oznámil, že v úterý 1. listopadu 2022 bude zveřejněna nová verze, která by měla obsahovat i opravu kritické zranitelnosti.
Co je to OpenSSL?
OpenSSL je běžně používaná knihovna kódů, která umožňuje zabezpečenou komunikaci na internetu. Zjednodušeně řečeno, kdykoli procházíme internet, webová stránka, kterou prohlížíme, nebo online služba, ke které přistupujeme, využívá OpenSSL.
Které verze OpenSSL jsou zranitelné?
Zranitelné jsou verze OpenSSL 3.0 a vyšší. Očekává se, že nejbližší verze OpenSSL 3.0.7 by měla obsahovat opravu kritické zranitelnosti.
Co mohu organizace udělat?
Než bude zveřejněna oprava, musí všechny organizace zůstat ve střehu a dodržovat osvědčené bezpečnostní postupy, včetně záplatování a aktualizace všech systémů. Doporučujeme také prověřit, kde se v rámci organizace používá OpenSSL, což lze provést pomocí softwarových nástrojů Bill of Materials (BOM), jejichž výstupem je seznam softwarových komponent používaných v dané společnosti. Takový postup umožní stanovit priority a připravit se na očekávanou opravu.
