Alvarlegur veikleiki í openssl

18. mars 2022

Alvarlegur veikleiki hefur uppgötvast í openSSL [1]. OpenSSL er notað fyrir 
dulkóðun gagna og til að tryggja örugg samskipti á netinu. 

Veikleikinn hefur auðkennið CVE-2022-0778 en hefur ekki fengið formlega CVSS 
einkunn. OpenSSL gefa veikleikanum alvarleikastigið hátt (e. High) sem er 
næstefsta stigið á skala OpenSSL. 

Hægt er að útbúa gölluð skirteini (e. malformed certificates) og einkalykla 
(e. private keys) til að valda yfirálagi á þeim búnaði sem er notaður til að 
meðhöndla skirteinið eða einkalykla. Þetta gæti til dæmis gerst í þeim 
tilvikum þegar 

- endabúnaður meðhöndlar skirteini frá netþjóni
- netþjónar meðhöndla skirteini frá endabúnaði 
- hýsingaraðilar meðtaka og meðhöndla skirteini og einkalykla frá 
  viðskiptavinum
- hugbúnaður les og meðhöndlar ASN.1 færibreytur (e. elliptic curve 
  parameters) 

Gefnar hafa verið út öryggisuppfærslur fyrir þennan veikleika. 

CERT-IS mælir með að uppfæra án tafa og meti hvort openssl sé notað af 
hugbúnaði sem þarfnist uppfærslu á vegum þriðja aðila. 


Tilvísanir:
[1] https://www.openssl.org/news/secadv/20220315.txt
[2] https://nvd.nist.gov/vuln/detail/CVE-2022-0778

Til baka