Os desenvolvedores do projeto OpenSSL informaram aos usuários que a próxima versão 3.0.7 fechará uma vulnerabilidade crítica recentemente descoberta. Este é apenas o segundo bug crítico no OpenSSL nos últimos anos.
O lançamento do OpenSSL versão 3.0.7 está marcado para terça-feira, novembro 1, 2022. Nenhum detalhe sobre este lançamento foi publicado ainda: é descrito como um “liberação de segurança” que incluirá um patch para algum bug classificado como “crítico”.
Deixe-me lembrá-lo de que também conversamos sobre o Bug na VPN do iOS impede criptografia de tráfego por anos, Os pesquisadores dizem.
Também é relatado que o problema mais recente não afeta o OpenSSL 3.0 e versões mais antigas.
Além do lançamento da versão 3.0.7, os desenvolvedores do OpenSSL também estão preparando a versão 1.1.1s. Seu lançamento está agendado para o mesmo dia e incluirá patches para diversos bugs.
Vale ressaltar que esta será a primeira vulnerabilidade crítica corrigida no OpenSSL desde setembro 2016, e apenas a segunda vulnerabilidade crítica na história do projeto.
Deixe-me lembrá-lo de que o projeto OpenSSL começou a atribuir classificações de gravidade às vulnerabilidades apenas em 2014, após a descoberta do sensacional Sangramento cardíaco problema (CVE-2014-0160).
A vulnerabilidade estava relacionada ao falta de verificação de limites obrigatórios em um dos Batimento cardiaco (RFC6520) extensão procedimentos para o protocolo TLS/DTLS. Devido a um pequeno bug, qualquer um poderia acessar a RAM de computadores cujas comunicações são “protegido” por uma versão vulnerável do OpenSSL. Em particular, o invasor obteve acesso a chaves secretas, nomes de usuário e senhas, e todo o conteúdo que deve ser transmitido de forma criptografada. Ao mesmo tempo, não houve vestígios de penetração no sistema. Especialistas em segurança da informação sugerem algo semelhante desta vez.
Desde 2014 e 2017, mais de uma dúzia de problemas de alta gravidade foram identificados. Depois disso, por muitos anos, especialistas em segurança não encontraram uma única vulnerabilidade com alto grau de gravidade, e esse status foi atribuído a apenas dois erros em 2020. Mais três problemas de alta gravidade foram descobertos em 2021, e mais dois em 2022.