Kaksi vakavaa haavoittuvuutta OpenSSL 3.0 -versiossa

Tietojen salaamiseen ja salattuun välittämiseen käytettyä OpenSSL-kirjastoa hyödynnetään lukuisissa järjestelmissä, mutta haavoittuva versio 3.0 ei ole vielä käytössä niin laajasti kuin aikaisemmat versiot. OpenSSL on käytössä esimerkiksi palvelimissa, verkkolaitteissa, sulautetuissa järjestelmissä ja konttitoteutuksissa. OpenSSL kertoo blogissaan (Ulkoinen linkki) (ulkoinen linkki) korjatuista haavoittuvuuksista.

Aluksi kriittiseksi arvioidut haavoittuvuudet CVE-2022-3602 ja CVE-2022-3678 muuttuivat OpenSSL:n ja yhteistyötahojen tarkastelun jälkeen luokitukseltaan vakaviksi. Sähköpostiosoitteiden käsittelyyn liittyvät haavoittuvuudet voivat pahimmillaan mahdollistaa etänä suoritettavat komennot - mutta todennäköisin tilanne on palvelunestotila.

Järjestelmien ylläpitäjien tulee päivittää OpenSSL:n versiot 3.0.0 - 3.0.6 uusimpaan versioon 3.0.7. Haavoittuvuudet eivät koske vanhempaa versiota 1.1.1q, eikä sitä tarvitse näiden haavoittuvuuksien vuoksi päivittää versioon 3.0.7. On kuitenkin suositeltavaa tarkistaa, ettei organisaatiossa ole enää käytössä vanhoja 0.9 ja 1.0 versioita, vaan ne on päivitetty vähintään versioon 1.1.1q tai uusimpaan versioon 1.1.1s (tämä aliversio ei sisältänyt tietoturvapäivityksiä).

Haavoittuvuus koskee organisaatioita ja järjestelmien ylläpitäjiä.