Krytyczna luka w OpenSSL (CVE-2026-34182) umożliwiająca obejście weryfikacji integralności CMS

Odkryto krytyczną lukę w OpenSSL (CVE-2026-34182) umożliwiającą obejście integralności CMS. Sprawdź zalecenia i zabezpiecz swoje systemy.
CVE-2026-34182CVSS 9.1TLS

Krytyczna luka w OpenSSL (CVE-2026-34182) umożliwiająca obejście weryfikacji integralności CMS

Odkryto krytyczną lukę w OpenSSL (CVE-2026-34182) umożliwiającą obejście integralności CMS. Sprawdź zalecenia i zabezpiecz swoje systemy.

CVSS
9.1 CRITICAL
EPSS
14.59%
Aktywnie wykorzystywana
brak w KEV
Produkt
openssl

Co wiadomo

W OpenSSL wykryto poważną lukę w obsłudze Cryptographic Message Services (CMS), gdzie niewystarczająca walidacja długości pola szyfru i tagu w AuthEnvelopedData może prowadzić do obejścia weryfikacji integralności i uzyskania funkcjonalności równoważnej kluczowi. Atakujący mogą manipulować wiadomościami CMS, co pozwala na odszyfrowanie lub fałszywe potwierdzenie poprawności danych.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla bezpieczeństwa systemów korzystających z OpenSSL do obsługi CMS, ponieważ umożliwia atakującym obejście mechanizmów integralności i potencjalne uzyskanie dostępu do kluczy szyfrujących. Może to prowadzić do naruszenia poufności i integralności przesyłanych danych, co jest krytyczne dla operatorów IT i właścicieli infrastruktury przetwarzającej wrażliwe informacje.

Rekomendowane działania administratora

Zaleca się jak najszybsze przejrzenie i zastosowanie dostępnych aktualizacji bezpieczeństwa od dostawcy OpenSSL. W przypadku braku natychmiastowej łatki, należy ograniczyć ekspozycję usług korzystających z CMS, monitorować logi pod kątem podejrzanych aktywności oraz priorytetyzować wdrożenie poprawek. Warto również zweryfikować konfigurację aplikacji pod kątem obsługi AuthEnvelopedData i unikać używania nieautoryzowanych trybów szyfrowania.

Źródła