Alvarlegur veikleiki í openssl
18. mar. 2022
Alvarlegur veikleiki hefur uppgötvast í openSSL [1]. OpenSSL er notað fyrir
dulkóðun gagna og til að tryggja örugg samskipti á netinu.
Veikleikinn hefur auðkennið CVE-2022-0778 en hefur ekki fengið formlega CVSS
einkunn. OpenSSL gefa veikleikanum alvarleikastigið hátt (e. High) sem er
næstefsta stigið á skala OpenSSL.
Hægt er að útbúa gölluð skirteini (e. malformed certificates) og einkalykla
(e. private keys) til að valda yfirálagi á þeim búnaði sem er notaður til að
meðhöndla skirteinið eða einkalykla. Þetta gæti til dæmis gerst í þeim
tilvikum þegar
- endabúnaður meðhöndlar skirteini frá netþjóni
- netþjónar meðhöndla skirteini frá endabúnaði
- hýsingaraðilar meðtaka og meðhöndla skirteini og einkalykla frá
viðskiptavinum
- hugbúnaður les og meðhöndlar ASN.1 færibreytur (e. elliptic curve
parameters)
Gefnar hafa verið út öryggisuppfærslur fyrir þennan veikleika.
CERT-IS mælir með að uppfæra án tafa og meti hvort openssl sé notað af
hugbúnaði sem þarfnist uppfærslu á vegum þriðja aðila.
Tilvísanir:
[1] https://www.openssl.org/news/secadv/20220315.txt
[2] https://nvd.nist.gov/vuln/detail/CVE-2022-0778
dulkóðun gagna og til að tryggja örugg samskipti á netinu.
Veikleikinn hefur auðkennið CVE-2022-0778 en hefur ekki fengið formlega CVSS
einkunn. OpenSSL gefa veikleikanum alvarleikastigið hátt (e. High) sem er
næstefsta stigið á skala OpenSSL.
Hægt er að útbúa gölluð skirteini (e. malformed certificates) og einkalykla
(e. private keys) til að valda yfirálagi á þeim búnaði sem er notaður til að
meðhöndla skirteinið eða einkalykla. Þetta gæti til dæmis gerst í þeim
tilvikum þegar
- endabúnaður meðhöndlar skirteini frá netþjóni
- netþjónar meðhöndla skirteini frá endabúnaði
- hýsingaraðilar meðtaka og meðhöndla skirteini og einkalykla frá
viðskiptavinum
- hugbúnaður les og meðhöndlar ASN.1 færibreytur (e. elliptic curve
parameters)
Gefnar hafa verið út öryggisuppfærslur fyrir þennan veikleika.
CERT-IS mælir með að uppfæra án tafa og meti hvort openssl sé notað af
hugbúnaði sem þarfnist uppfærslu á vegum þriðja aðila.
Tilvísanir:
[1] https://www.openssl.org/news/secadv/20220315.txt
[2] https://nvd.nist.gov/vuln/detail/CVE-2022-0778