Alert GCSA-22122 - Aggiornamento di sicurezza per OpenSSL
******************************************************************
Alert ID: GCSA-22122
data: 02 novembre 2022
titolo: Aggiornamento di sicurezza per OpenSSL
******************************************************************
:: Descrizione del problema
E' stata rilasciata una nuova versione del software OpenSSL
con la quale vengono risolte due vulnerabilita' di livello alto.
Al momento non si e' a conoscenza di alcun exploit funzionante
che possa portare all'esecuzione di codice arbitrario e
non ci sono prove che i bug vengano attivamente sfruttati.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software interessato
OpenSSL dalla versione 3.0.0 alla 3.0.6
:: Impatto
Denial of Service (DoS)
Esecuzione remota di codice arbitrario (RCE)
:: Soluzioni
Aggiornare OpenSSL alla versione
OpenSSL 3.0.7
tramite gli upgrade del proprio sistema operativo,
o scaricando il software dal seguente link
https://www.openssl.org/source/
OpenSSL version 3.0.7 published
https://mta.openssl.org/pipermail/openssl-announce/2022-November/000241.html
Le versioni OpenSSL 1.1.1 e 1.0.2 non sono coinvolte dalla vulnerabilita'.
Le versioni OpenSSL 1.0.2 e 1.1.0 non sono piu' supportate
e non ricevono piu' aggiornamenti.
:: Riferimenti
OpenSSL Security Advisory
https://www.openssl.org/news/secadv/20221101.txt
OpenSSL Blog
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
Overview of software (un)affected by vulnerability CVE-2022-3602
https://github.com/NCSC-NL/OpenSSL-2022/blob/main/software/README.md
SANS ISC Blog
https://isc.sans.edu/forums/diary/Critical+OpenSSL+30+Update+Released+Patches+CVE20223786+CVE20223602/29208
Mitre's CVE ID
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3602
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3786
Ubuntu Security Notice
https://ubuntu.com/security/notices/USN-5710-1
Red Hat Security Advisory
https://access.redhat.com/errata/RHSA-2022:7288
Cisco Security Advisories
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-W9sdCc2a
FortiGuard Labs - PSIRT Advisories
https://fortiguard.fortinet.com/psirt/FG-IR-22-419
BleepingComputer - Security news
https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/
SecurityWeek
https://www.securityweek.com/anxiously-awaited-openssl-vulnerabilitys-severity-downgraded-critical-high
The Hacker News
https://thehackernews.com/2022/11/just-in-openssl-releases-patch-for-2.html
GARR CERT Newsletter subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCY2KL1w0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCVIkAn1XI6hzbMIwvVwo6gF3Jc53qymz8AJ44UOhFAlhw
guVrixsrjU+uhHzAAQ==
=UEd3
-----END PGP SIGNATURE-----
Alert ID: GCSA-22122
data: 02 novembre 2022
titolo: Aggiornamento di sicurezza per OpenSSL
******************************************************************
:: Descrizione del problema
E' stata rilasciata una nuova versione del software OpenSSL
con la quale vengono risolte due vulnerabilita' di livello alto.
Al momento non si e' a conoscenza di alcun exploit funzionante
che possa portare all'esecuzione di codice arbitrario e
non ci sono prove che i bug vengano attivamente sfruttati.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software interessato
OpenSSL dalla versione 3.0.0 alla 3.0.6
:: Impatto
Denial of Service (DoS)
Esecuzione remota di codice arbitrario (RCE)
:: Soluzioni
Aggiornare OpenSSL alla versione
OpenSSL 3.0.7
tramite gli upgrade del proprio sistema operativo,
o scaricando il software dal seguente link
https://www.openssl.org/source/
OpenSSL version 3.0.7 published
https://mta.openssl.org/pipermail/openssl-announce/2022-November/000241.html
Le versioni OpenSSL 1.1.1 e 1.0.2 non sono coinvolte dalla vulnerabilita'.
Le versioni OpenSSL 1.0.2 e 1.1.0 non sono piu' supportate
e non ricevono piu' aggiornamenti.
:: Riferimenti
OpenSSL Security Advisory
https://www.openssl.org/news/secadv/20221101.txt
OpenSSL Blog
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
Overview of software (un)affected by vulnerability CVE-2022-3602
https://github.com/NCSC-NL/OpenSSL-2022/blob/main/software/README.md
SANS ISC Blog
https://isc.sans.edu/forums/diary/Critical+OpenSSL+30+Update+Released+Patches+CVE20223786+CVE20223602/29208
Mitre's CVE ID
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3602
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3786
Ubuntu Security Notice
https://ubuntu.com/security/notices/USN-5710-1
Red Hat Security Advisory
https://access.redhat.com/errata/RHSA-2022:7288
Cisco Security Advisories
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-W9sdCc2a
FortiGuard Labs - PSIRT Advisories
https://fortiguard.fortinet.com/psirt/FG-IR-22-419
BleepingComputer - Security news
https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/
SecurityWeek
https://www.securityweek.com/anxiously-awaited-openssl-vulnerabilitys-severity-downgraded-critical-high
The Hacker News
https://thehackernews.com/2022/11/just-in-openssl-releases-patch-for-2.html
GARR CERT Newsletter subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCY2KL1w0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCVIkAn1XI6hzbMIwvVwo6gF3Jc53qymz8AJ44UOhFAlhw
guVrixsrjU+uhHzAAQ==
=UEd3
-----END PGP SIGNATURE-----