SK-CERT Bezpečnostné varovanie V20221228-04
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP WHITE |
| CVSS Skóre |
9.8 |
| Identifikátor |
| OpenImageIO – viacero kritických bezpečnostných zraniteľností |
| Popis |
| Bezpečnostní výskumníci zverejnili informácie o bezpečnostných zraniteľnostiach produktu OpenImageIO, z ktorých šesť je označovaných ako kritických. Najzávažnejšia kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorených EXIF metadát vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. |
| Dátum prvého zverejnenia varovania |
| 22.12.2022 |
| CVE |
| CVE-2022-31698, CVE-2022-36354, CVE-2022-38143, CVE-2022-41639, CVE-2022-41649, CVE-2022-41684, CVE-2022-41794, CVE-2022-41837, CVE-2022-41838, CVE-2022-41977, CVE-2022-41981, CVE-2022-41988, CVE-2022-41992, CVE-2022-41999, CVE-2022-43592, CVE-2022-43593, CVE-2022-43594, CVE-2022-43595, CVE-2022-43596, CVE-2022-43597, CVE-2022-43598, CVE-2022-43599, CVE-2022-43602, CVE-2022-43603 |
| IOC |
| – |
| Zasiahnuté systémy |
| OpenImageIO vo verzii staršej ako 2.4.4.2 (vrátane) |
| Následky |
| Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému |
| Odporúčania |
| Odporúčame uistiť sa, či Vaše aplikácie nevyužívajú OpenImageIO v zraniteľnej verzii. V prípade, že áno, odporúčame sledovať stránku výrobcu a po vydaní bezpečnostných záplat bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
« Späť na zoznam
