Разработчики проекта OpenSSL сообщили пользователям, что грядущая версия 3.0.7 закроет критическую уязвимость. Это всего второй критический баг в OpenSSL за последние годы.
Релиз OpenSSL версии 3.0.7 запланирован на вторник, 1 ноября 2022 года. Пока никакие подробности об этом выпуске не разглашаются: он описается как «релиз с исправлениями безопасности», который будет включать в себя патч для некоего бага, который оценивается как «критический».
Также сообщается, что свежая проблема не затрагивает OpenSSL 3.0 и более старые версии.
В дополнение к релизе версии 3.0.7 разработчики OpenSSL также готовят версию 1.1.1s. Ее выпуск запланирован на тот же день, и в него войдут патчи для различных багов.
Примечательно то, что это будет первая критическая уязвимость, исправленная в OpenSSL с сентября 2016 года, и всего вторая критическая уязвимость за всю историю проекта.
Напомню, что проект OpenSSL начал присваивать рейтинги серьезности уязвимостям только в 2014 году, после обнаружения нашумевшей проблемы Heartbleed (CVE-2014-0160). С тех пор, в период с 2014 по 2017 год, было обнаружено более десятка проблем с высокой степенью серьезности. После этого несколько лет ИБ-эксперты не находили ни одной уязвимости с высокой степенью серьезности, и этот статус был присвоен лишь двум ошибкам в 2020 году. Еще три проблемы с высокой степени серьезности были обнаружены в 2021 году, и две — в 2022 году.
