Nova vulnerabilidade do OpenSSL 3.0.x anunciou (outubro de 2022)
Última modificação: 2022-12-20 17:21:26 Etc/GMT
Aviso de isenção de responsabilidade
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas:
Veja como um ecossistema XDR que está sempre se adaptando pode energizar sua empresa.
O CEO da Trellix, Bryan Palma, explica a necessidade crítica por uma segurança que está sempre aprendendo.
Faça download do relatório Magic Quadrant, que avalia os 19 fornecedores com base na capacidade de execução e na abrangência de visão.
De acordo com a Gartner, “o XDR é uma tecnologia emergente que pode oferecer melhor prevenção, detecção e resposta a ameaças”.
Quais ameaças à segurança cibernética devem estar no radar das empresas em 2022?
A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
Duas líderes confiáveis em segurança cibernética se uniram para criar um mundo digital resiliente.
O CEO da Trellix, Bryan Palma, explica a necessidade crítica por uma segurança que está sempre aprendendo.
Nova vulnerabilidade do OpenSSL 3.0.x anunciou (outubro de 2022)
Artigos técnicos ID:
KB96105
Última modificação: 2022-12-20 17:21:26 Etc/GMT Ambiente
Versões do OpenSSL entre 3.0.0 e 3.0.6. OpenSSL 1.1.1 e LibreSSL são reportados para não serem afetados. Resumo
A equipe de projeto da OpenSSL anunciou recentemente a liberação da versão 3.0.7 do OpenSSL, a ser disponibilizada na terça-feira, 1º de novembro, entre 1300-1700 UTC. A atualização é uma correção de segurança para uma vulnerabilidade no OpenSSL 3.0.x. recomendamos enfaticamente que os desenvolvedores e administradores priorizem o patch de qualquer instância do OpenSSL 3 em seu ambiente quando a correção for liberada na terça-feira. Este artigo será atualizado à medida que mais informações forem disponibilizadas. Para receber notificações por e-mail quando este artigo for atualizado, clique em Assinar na lateral direita da página. Você deve estar conectado para assinar.
Em 1 de novembro de 2022, o OpenSSL lançou um comunicado sobre CVE-2022-3786 ("x. 509 de tamanho variável de endereço de e-mail") e CVE-2022-3602 ("x. 509 endereço de E-mail com estouro de buffer de 4 bytes"). O CVE-2022-3602 foi originalmente avaliado pelo projeto OpenSSL como crítico, mas foi mais tarde reduzido para a alta gravidade. Mais informações sobre isso podem ser encontradas na postagem de blogdo OpenSSL correspondente. Informações adicionais podem ser encontradas nesta postagem de blogdo Trellix. O boletim de segurança SB10390 também está disponível. CVE-2022-3602 Uma saturação de buffer pode ser disparada na verificação de certificado X. 509, especificamente na verificação de restrição de nome. Observe que isso ocorre após a verificação da assinatura da cadeia de certificados e exige que uma autoridade de certificação tenha assinado um certificado malicioso ou que um aplicativo continue a verificação do certificado, apesar de não construir um caminho para um emissor confiável. Um atacante pode criar um endereço de e-mail malicioso em um certificado para restourar um número arbitrário de bytes que contenham o caractere '. ' (decimal 46) na pilha. Esse estouro de buffer pode resultar em uma falha (causando uma negação de serviço). Em um cliente TLS, isso pode ser disparado através da conexão com um servidor malicioso. Em um servidor TLS, isso pode ser disparado se o servidor solicitar autenticação de cliente e um cliente malicioso se conectar. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-3602 https://CVE.mitre.org/cgi-bin/cvename.cgi?Name=CVE-2022-3602 CVE-2022-3786 Uma saturação de buffer pode ser disparada na verificação de certificado X. 509, especificamente na verificação de restrição de nome. Observe que isso ocorre após a verificação da assinatura da cadeia de certificados e exige que uma autoridade de certificação tenha assinado um certificado malicioso ou que um aplicativo continue a verificação do certificado, apesar de não construir um caminho para um emissor confiável. Um atacante pode criar um endereço de e-mail malicioso em um certificado para restourar um número arbitrário de bytes que contenham o caractere '. ' (decimal 46) na pilha. Esse estouro de buffer pode resultar em uma falha (causando uma negação de serviço). Em um cliente TLS, isso pode ser disparado através da conexão com um servidor malicioso. Em um servidor TLS, isso pode ser disparado se o servidor solicitar autenticação de cliente e um cliente malicioso se conectar. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-3786 https://CVE.mitre.org/cgi-bin/cvename.cgi?Name=CVE-2022-3786 Informações relacionadas
Para obter informações sobre como os produtos Trellix e FireEye são afetados, consulte os seguintes artigos:
Aviso de isenção de responsabilidadeO conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetadosIdiomas:Este artigo está disponível nos seguintes idiomas: |
|