Что касается уязвимостей OpenSSL, которые многие так ждали 1 ноября

Что касается уязвимостей OpenSSL, которые многие так ждали 1 ноября. Обе уязвимости "переполнение буфера" (CVE-2022-3786, CVE-2022-3602).

Лучше всего процитировать блог Rapid7:

"Другими словами, возможности эксплуатации значительно ограничены:

- В случае, когда целью является сервер (веб-сервер, сервер базы данных, почтовый сервер и т.д.): сервер должен сначала запросить аутентификацию клиента как часть взаимной аутентификации. Такую конфигурацию распространенной не назовешь, но в особо критичных системах встречается.
- В случае, когда целью является клиент (веб-браузер, программа для чтения электронной почты, коннектор для базы данных и т.д.): злоумышленнику необходимо сначала заставить уязвимого клиента подключиться к вредоносному серверу. Можно выдать себя за другое лицо (MitM, захват существующего ресурса и т.д.) или убедить человека щелкнуть ссылку (через фишинг, "атаку на водопое" и т.д.).

В обоих сценариях такие атаки вряд ли будут широко использоваться злоумышленниками".

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Captcha
captcha
Reload