НКЦКИ предупреждает об уязвимости в OpenSSL

НКЦКИ предупреждает об уязвимости в OpenSSL

НКЦКИ предупреждает об уязвимости в OpenSSL

Национальный координационный центр по компьютерным инцидентам (НКЦКИ) предупреждает об актуальной угрозе проведения компьютерных атак, связанных с эксплуатацией уязвимости в библиотеке OpenSSL.

Уязвимости присвоен идентификатор CVE-2022-0778, она затрагивает следующие версии OpenSSL: 3.0.0 - 3.0.1, 1.1.1 - 1.1.1m, 1.0 - 3.0.1. Эксплуатация уязвимости позволяет удаленному злоумышленнику вызвать ошибку типа «отказ в обслуживании» в целевой системе посредством отправки специально сформированных данных.

Уязвимость представляет опасность в тех случаях, когда происходит обработка пользовательских сертификатов или приватных ключей, например:

  • При подключениях по ssh/VPN к сервисам, использующим OpenSSL.
  • В случаях, когда со стороны пользователя есть возможность загрузить для обработки сертификат или ключ (т.е. компьютерным атакам могут быть подвержены удостоверяющие центры, принимающие запросы на выдачу сертификатов).

Производителем программного обеспечения выпущено исправление указанной уязвимости. НКЦКИ рекомендует устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Это связано со сложившейся обстановкой и введенными санкциями против Российской Федерации.

Скачать бюллетень НКЦКИ в формате PDF: