Что касается уязвимостей OpenSSL, которые многие так ждали 1 ноября. Обе уязвимости "переполнение буфера" (CVE-2022-3786, CVE-2022-3602).
Лучше всего процитировать блог Rapid7:
"Другими словами, возможности эксплуатации значительно ограничены:
- В случае, когда целью является сервер (веб-сервер, сервер базы данных, почтовый сервер и т.д.): сервер должен сначала запросить аутентификацию клиента как часть взаимной аутентификации. Такую конфигурацию распространенной не назовешь, но в особо критичных системах встречается.
- В случае, когда целью является клиент (веб-браузер, программа для чтения электронной почты, коннектор для базы данных и т.д.): злоумышленнику необходимо сначала заставить уязвимого клиента подключиться к вредоносному серверу. Можно выдать себя за другое лицо (MitM, захват существующего ресурса и т.д.) или убедить человека щелкнуть ссылку (через фишинг, "атаку на водопое" и т.д.).
В обоих сценариях такие атаки вряд ли будут широко использоваться злоумышленниками".
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.