0
0
O OpenSSL emitiu um aviso urgente para alertar sobre uma vulnerabilidade de corrupção de memória que expõe os servidores a ataques remotos de execução de código.
A vulnerabilidade, rastreada como CVE-2022-2274, foi introduzida no OpenSSL 3.0.4 e poderia potencialmente permitir que hackers maliciosos lançassem ataques de código remoto em dispositivos externos SSL/TLS não corrigidos.
O grupo de código aberto classifica este um problema de “alta gravidade” e pediu aos usuários que atualizem para o OpenSSL 3.0.5.
Detalhes do aviso do OpenSSL:
A versão OpenSSL 3.0.4 introduziu um bug sério na implementação da RSA para CPUs X86_64 que suportam as instruções AVX512IFMA.
Esse problema torna a implementação do RSA com chaves privadas de 2048 bits incorretas em tais máquinas e a corrupção da memória acontecerá durante o cálculo. Como consequência da corrupção da memória, um invasor pode ser capaz de acionar uma execução remota de código na máquina que executa o cálculo.
Servidores SSL/TLS ou outros servidores que usam chaves privadas RSA de 2048 bits em execução em máquinas que suportam as instruções AVX512IFMA da arquitetura X86_64 são afetados por esse problema.
O OpenSSL 1.1.1 e o 1.0.2 não são afetados por esse problema, de acordo com o aviso.
FONTE: SECURITYWEEK