Haavoittuvuus20/2022
Tietojen salaamiseen ja salattuun välittämiseen käytetyn OpenSSL-kirjaston versiosta 3.0 on löydetty kaksi vakavaa haavoittuvuutta. Uusin versio 3.0.7 on syytä päivittää mahdollisimman pian. Haavoittuvuudet eivät koske vanhempia 1.1.1 tai sitä edeltäneitä versioita.
Tietojen salaamiseen ja salattuun välittämiseen käytettyä OpenSSL-kirjastoa hyödynnetään lukuisissa järjestelmissä, mutta haavoittuva versio 3.0 ei ole vielä käytössä niin laajasti kuin aikaisemmat versiot. OpenSSL on käytössä esimerkiksi palvelimissa, verkkolaitteissa, sulautetuissa järjestelmissä ja konttitoteutuksissa. OpenSSL kertoo blogissaan (Ulkoinen linkki) (ulkoinen linkki) korjatuista haavoittuvuuksista.
Aluksi kriittiseksi arvioidut haavoittuvuudet CVE-2022-3602 ja CVE-2022-3678 muuttuivat OpenSSL:n ja yhteistyötahojen tarkastelun jälkeen luokitukseltaan vakaviksi. Sähköpostiosoitteiden käsittelyyn liittyvät haavoittuvuudet voivat pahimmillaan mahdollistaa etänä suoritettavat komennot - mutta todennäköisin tilanne on palvelunestotila.
Järjestelmien ylläpitäjien tulee päivittää OpenSSL:n versiot 3.0.0 - 3.0.6 uusimpaan versioon 3.0.7. Haavoittuvuudet eivät koske vanhempaa versiota 1.1.1q, eikä sitä tarvitse näiden haavoittuvuuksien vuoksi päivittää versioon 3.0.7. On kuitenkin suositeltavaa tarkistaa, ettei organisaatiossa ole enää käytössä vanhoja 0.9 ja 1.0 versioita, vaan ne on päivitetty vähintään versioon 1.1.1q tai uusimpaan versioon 1.1.1s (tämä aliversio ei sisältänyt tietoturvapäivityksiä).
Haavoittuvuus koskee organisaatioita ja järjestelmien ylläpitäjiä.
Kohde
- Työasemat ja loppukäyttäjäsovellukset
- Verkon aktiivilaitteet
- Sulautetut järjestelmät
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Paikallisesti
Vaikutukset
- Palvelunestohyökkäys
- Komentojen mielivaltainen suorittaminen
Hyväksikäyttömenetelmä tiedossa
- Haavoittuvuuden havainnollistava esimerkkikoodi
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
OpenSSL 3.0.0 - 3.0.6
Haavoittuvuus ei koske OpenSSL:n vanhempia versioita.
Mistä on kysymys?
Päivitä OpenSSL versiot 3.0.0 - 3.0.6 versioon 3.0.7.