Nyheter, Prylar, Android, Mobiler, Appnedladdningar, Android

OpenSSL Bug kan låta hackare lägga tjänsten i en oändlig DoS-loop

OpenSSL, ett populärt säkert kommunikationsbibliotek visar sig ha en bugg som kan placera tjänsten i en oändlig slinga av DoS.

Forskare sa att felet gäller ett analysproblem inom vissa versioner av OpenSSL och behöver ett skadligt skapat certifikat för att utlösa det. När det är gjort, sätter det SSL-anslutningen i en loop av mig ett överbelastningsskydd. OpenSSL-teamet har släppt patchar för detta problem och rekommenderar användare att ansöka.

OpenSSL Parsing Bug som orsakar DoS

Denial of Service (DoS) är något som får en legitim tjänst att krascha på grund av skadliga handlingar som drivs av hotaktörer, med syfte att blockera tjänsten även för legitima användare. Även om detta kanske inte utgör en stor cybersäkerhetsrisk, kan det kosta en långsiktig ekonomisk förlust och skada varumärkets rykte.

Och detta är vad OpenSSL-användare kan möta om de inte korrigerar en bugg som nyligen upptäckts. Upptäckt av Tavis Ormandy, en säkerhetsforskare från Google, kan sårbarheten för certifikatanalys i OpenSSL orsaka en betydande inverkan på alla företag som använder den.

Senare noterat av OpenSSL-teamet, felet hittades i funktionen BN_mod_sqrt() och kan utlösas genom att servera ett uppsåtligt skapat certifikat för att placera det i en oändlig loop av tjänsteförbud. Forskare noterade att;

Alla OpenSSL-versioner från 1.0.2 till 1.0.2zc, 1.1.1 till 1.1.1n och 3.0 till 3.0.1 sägs vara påverkade av denna bugg. Och teamet har släppt patchar för dem i form av 1.1.1n, 3.0.2 och 1.0.2zd till endast premiummedlemmar i 1.0.2-versionen. Detta beror på att 1.0.2 har nått EOL, så OpenSSL föreslår att de uppgraderar till en version som stöds.

Spåras som CVE-2022-0778sade OpenSSL-teamet att de inte har hittat någon exploatering av denna bugg i vilda än. Men Italiens nationella cybersäkerhetsbyrå, CSIRT sagt på andra sättetsom OpenSSL-teamet nekades senare.