OpenSSL corrige duas vulnerabilidades de alta gravidade

As vulnerabilidades (CVE-2022-3602 e CVE-2022-3786) afetam o OpenSSL versão 3.0.0 e posterior e foram abordadas no OpenSSL 3.0.7.

O CVE-2022-3602 é um stack buffer overflow arbitrário de 4 bytes que pode desencadear falhas ou levar à execução remota de código (RCE), enquanto o CVE-2022-3786 pode ser explorado por invasores por meio de endereços de e-mail maliciosos, para desencadear um estado de negação de serviço.

Embora o aviso inicial, feito em 25 de outubro, tenha levado administradores a tomarem medidas de mitigação imediatas, o impacto real é muito mais limitado – cerca de 7 mil sistemas expostos à Internet executam versões OpenSSL vulneráveis, ​​de um total de mais de 1.793.000 hosts exclusivos detectados pela Censys.

As versões mais recentes do OpenSSL estão incluídas nas versões atualizadas de várias distribuições Linux populares – com Redhat Enterprise Linux 9, Ubuntu 22.04+, CentOS Stream9, Kali 2022.3, Debian 12 e Fedora 36 marcados como vulneráveis ​​pela empresa de segurança cibernética Akamai.