OpenSSL akan Merilis Patch Keamanan untuk Kerentanan Korupsi Memori Jarak Jauh

Remote Memory Corruption Vulnerability

Versi terbaru dari perpustakaan OpenSSL telah ditemukan rentan terhadap kerentanan korupsi memori jarak jauh pada sistem tertentu.

Masalah telah diidentifikasi di OpenSSL versi 3.0.4, yang dirilis pada 21 Juni 2022, dan memengaruhi sistem x64 dengan set instruksi AVX-512. OpenSSL 1.1.1 serta garpu OpenSSL BoringSSL dan LibreSSL tidak terpengaruh.

Peneliti keamanan Guido Vranken, yang melaporkan bug tersebut pada akhir Mei, mengatakan bahwa bug itu “dapat dipicu secara sepele oleh penyerang.” Meskipun kekurangannya telah diperbaiki, belum ada tambalan yang tersedia.

OpenSSL adalah perpustakaan kriptografi populer yang menawarkan implementasi open source dari protokol Transport Layer Security (TLS). Advanced Vector Extensions (AVX) adalah ekstensi ke arsitektur set instruksi x86 untuk mikroprosesor dari Intel dan AMD.

“Saya tidak berpikir ini adalah kerentanan keamanan,” kata Tomáš Mráz dari OpenSSL Foundation di utas masalah GitHub. “Ini hanya bug serius yang membuat rilis 3.0.4 tidak dapat digunakan pada mesin yang mendukung AVX-512.”

Keamanan cyber

Di sisi lain, Alex Gaynor menunjukkan, “Saya tidak yakin saya mengerti bagaimana itu bukan kerentanan keamanan. Ini adalah buffer overflow heap yang dapat dipicu oleh hal-hal seperti tanda tangan RSA, yang dapat dengan mudah terjadi dalam konteks jarak jauh (misalnya jabat tangan TLS ).”

Xi Ruoyao, seorang mahasiswa pascasarjana di Universitas Xidian, menimpali, menyatakan bahwa meskipun “Saya pikir kita tidak boleh menandai bug sebagai ‘kerentanan keamanan’ kecuali kita memiliki beberapa bukti yang menunjukkan bahwa itu dapat (atau setidaknya, mungkin) dieksploitasi,” perlu merilis versi 3.0.5 sesegera mungkin mengingat beratnya masalah.

Related Post :   Router Bisnis Cisco Ditemukan Rentan terhadap Kelemahan Peretasan Jarak Jauh yang Kritis


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.