OPENSSL

Slapp unna med skrekken: Men mye programvare med OpenSSL må oppdateres

Alvolighetsgraden til den potensielt verste sårbarheten har blitt nedgradert fra «critical» til «high» .

Det er viktig at virksomheter som benytter OpenSSL 3, installerer den nyeste sikkerhetsoppdateringen så raskt som mulig.
Det er viktig at virksomheter som benytter OpenSSL 3, installerer den nyeste sikkerhetsoppdateringen så raskt som mulig. Illustrasjon: Colourbox, OpenSSL Foundation. Montasje: digi.no
Harald BrombachHarald BrombachNyhetsleder
2. nov. 2022 - 09:40

Tirsdag kom det en viktig sikkerhetsoppdatering til krypteringsprogramvaren OpenSSL 3.x, versjon 3.0.7, hvor det ble fjernet to alvorlige sårbarheter. Selv om dette er alvorlig nok, siden OpenSSL brukes i mye programvare, er situasjonen ikke like ille som først ventet. 

I forrige uke varslet nemlig OpenSSL-prosjektet at oppdateringen ville inneholde minst én kritisk sårbarhet, noe som fikk en del til å frykte at vi sto foran en ny Heartbleed-situasjon

Slik ble det altså ikke. Ingen av de to sårbarhetene kan med sikkerhet utnyttes til fjernkjøring av vilkårlig kode. Men utnyttelse kan føre til at programvare krasjer. Begge sårbarhetene skyldes bufferoverflytfeil knyttet til verifiseringen av X.509-sertifikater, nærmere bestemt i lengden på e-postadresser. 

Det er kun den nyeste generasjonen, med versjonsnummer 3.0.0 og nyere, som er berørt av sårbarhetene. Mye programvare har tatt i bruk denne nyeste generasjonen, men mange benytter en eldre generasjon i stedet. En ikke-uttømmende oversikt finnes på denne siden. Der er det blant annet oppgitt status for en rekke Linux-distribusjoner. 

Nettverksplugger i en svitsj.
Les også

Nulldagssårbarhet: Ber Ivanti-brukere ta grep umiddelbart

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.