Компании, использующие OpenSSL в своих продуктах, начали выпускать рекомендации по безопасности, для того чтобы проинформировать своих пользователей о влиянии двух недавно исправленных уязвимостей.

Обновления, представленные проектом OpenSSL 24 августа, содержат исправления для CVE-2021-3711, критической уязвимости переполнения буфера и CVE-2021-3712, уязвимости средней степени опасности, которая может быть использована для вызова состояния «отказа в обслуживании» (DoS), и, возможно, для раскрытия содержимого собственной памяти.

Уязвимость высокой степени опасности, исправленная в выпуске OpenSSL 1.1.1l, может позволить злоумышленнику изменить поведение приложения или вызвать его сбой.

Несколько крупных организаций, чьи продукты полагаются на OpenSSL, выпустили рекомендации по безопасности, включая такие дистрибутивы Linux, как Red Hat, Ubuntu, SUSE, Debian, и Alpine Linux.

Производитель устройств сетевого хранилища (NAS) Synology сообщила своим пользователям, что уязвимости OpenSSL влияют на продукты Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server и VPN Server.

Компания присвоила этим уязвимостям уровни серьезности «важная» и «умеренная» и заявляет, что работает над исправлениями.

QNAP также выпустила рекомендацию по безопасности, где сообщила пользователям, что компания «тщательно расследует проблему» и «как можно скорее выпустит обновления безопасности и предоставит дополнительную информацию».

Ожидается, что другие крупные компании, такие как Cisco и Broadcom, также выпустят информационные бюллетени с описанием воздействия последних уязвимостей OpenSSL на их продукты.

Источник: securityweek.com