Krytyczna luka w OpenSSL (CVE-2026-34182) umożliwiająca obejście weryfikacji integralności CMS
Odkryto krytyczną lukę w OpenSSL (CVE-2026-34182) umożliwiającą obejście integralności CMS. Sprawdź zalecenia i zabezpiecz swoje systemy.
- CVSS
- 9.1 CRITICAL
- EPSS
- 14.59%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- openssl
Co wiadomo
W OpenSSL wykryto poważną lukę w obsłudze Cryptographic Message Services (CMS), gdzie niewystarczająca walidacja długości pola szyfru i tagu w AuthEnvelopedData może prowadzić do obejścia weryfikacji integralności i uzyskania funkcjonalności równoważnej kluczowi. Atakujący mogą manipulować wiadomościami CMS, co pozwala na odszyfrowanie lub fałszywe potwierdzenie poprawności danych.
Wpływ biznesowy
Luka ta stanowi poważne zagrożenie dla bezpieczeństwa systemów korzystających z OpenSSL do obsługi CMS, ponieważ umożliwia atakującym obejście mechanizmów integralności i potencjalne uzyskanie dostępu do kluczy szyfrujących. Może to prowadzić do naruszenia poufności i integralności przesyłanych danych, co jest krytyczne dla operatorów IT i właścicieli infrastruktury przetwarzającej wrażliwe informacje.
Rekomendowane działania administratora
Zaleca się jak najszybsze przejrzenie i zastosowanie dostępnych aktualizacji bezpieczeństwa od dostawcy OpenSSL. W przypadku braku natychmiastowej łatki, należy ograniczyć ekspozycję usług korzystających z CMS, monitorować logi pod kątem podejrzanych aktywności oraz priorytetyzować wdrożenie poprawek. Warto również zweryfikować konfigurację aplikacji pod kątem obsługi AuthEnvelopedData i unikać używania nieautoryzowanych trybów szyfrowania.