Sintesi
OpenSSL ha rilasciato aggiornamenti di sicurezza che risolvono una vulnerabilità che, qualora sfruttata, potrebbe comportare condizioni di negazione della disponibilità del servizio.
Note: la CVE-2022-0778 risulta essere sfruttata attivamente in rete.
ERRATA CORRIGE: la CVE-2022-0778 non risulta essere sfruttata attivamente in rete.
Note: un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità risulta disponibile in rete
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (68,81/100)1.
Tipologia
Denial of Service
Prodotti e versioni affette
OpenSSL:
1.0.2, versioni precedenti alla 1.0.2zd
1.1.1, versioni precedenti alla 1.1.1n
3.0, versioni precedenti alla 3.0.2
Si evidenzia che anche OpenSSL 1.1.0 risulta vulnerabile: per tale versione il vendor non rilascerà alcun workaround e/o patch considerata la data di fine supporto (EOL).
Azioni consigliate
In linea con le dichiarazioni del vendor, si consiglia di aggiornare i singoli prodotti seguendo le indicazioni riportate nel bollettino di sicurezza disponibile nella sezione Riferimenti.
Identificatori univoci vulnerabilità
CVE-2022-0778
Riferimenti
https://www.openssl.org/news/secadv/20220315.txt
Fonte: https://www.csirt.gov.it/