CVE-2026-34182: Критична вразливість OpenSSL у обробці AuthEnvelopedData

Виявлено критичну вразливість OpenSSL CVE-2026-34182, що дозволяє обходити перевірку цілісності в CMS. Рекомендується перевірити оновлення та посилити безпеку.
CVE-2026-34182CVSS 9.1TLS

CVE-2026-34182: Критична вразливість OpenSSL у обробці AuthEnvelopedData

Виявлено критичну вразливість OpenSSL CVE-2026-34182, що дозволяє обходити перевірку цілісності в CMS. Рекомендується перевірити оновлення та посилити безпеку.

CVSS
9.1 CRITICAL
EPSS
14.59%
Активно використовується
немає в KEV
Продукт
openssl

Що відомо

У OpenSSL виявлено критичну вразливість у Cryptographic Message Services (CMS), що дозволяє зловмисникам обходити перевірку цілісності та отримувати функціональність, еквівалентну ключу, шляхом неправильного оброблення полів cipher і tag length у AuthEnvelopedData. Це може призвести до компрометації захищених повідомлень.

Бізнес-вплив

Вразливість ставить під загрозу безпеку систем, які використовують OpenSSL для обробки CMS-повідомлень, особливо при застосуванні AuthEnvelopedData. Зловмисники можуть отримати доступ до ключів шифрування або обходити перевірку цілісності, що підриває довіру до захищених комунікацій і може призвести до витоку або підробки даних. Власникам інфраструктури слід терміново оцінити ризики та вжити заходів для мінімізації потенційних наслідків.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень та патчів від постачальника OpenSSL, особливо для компонентів, що відповідають за CMS та AuthEnvelopedData. Якщо оновлення недоступні, слід обмежити використання уразливих функцій, посилити моніторинг журналів безпеки на предмет підозрілої активності та провести аудит застосунків, що використовують OpenSSL для обробки CMS. Пріоритетно слід зменшити експозицію систем, що можуть бути атаковані через цю вразливість.

Джерела