OpenSSL har nedjustert alvorligheten fra KRITISK til HØY [1].

NCSC viser til vårt forvarsel [2] 31. oktober 2022 om en kritisk sårbarhet i OpenSSL 3.x.

Utnyttelse av sårbarheten fordrer enten et ondsinnet sertifikat signert av en autoritet systemet stoler på, eller at systemet aksepterer sertifikater det ikke stoler på. Vellykket utnyttelse kan føre til tjenestenekt eller kjøring av vilkårlig kode.

NCSC anbefaler systemeiere å oppdatere systemer med OpenSSL 3.x til OpenSSL 3.0.7. NCSC-NL vedlikeholder sammen med andre en liste over sårbarhetsstatus på mye brukte produkter [3].

Referanser

[1] https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

[2] https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/forvarsel-kritisk-sarbarhet-i-openssl-3-x

[3] https://github.com/NCSC-NL/OpenSSL-2022/blob/main/software/README.md