Projekat OpenSSL objavio je nove verzije SSL/TLS biblioteke koje ispravljaju tri ranjivosti.
Objavljene su verzije 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18, 1.0.2zm i 1.1.1zd biblioteke OpenSSL. Većina ovih izdanja sadrži zakrpe za tri ranjivosti praćene kao CVE-2025-9230, CVE-2025-9231 i CVE-2025-9232.
Dvije ranjivosti ocijenjene su kao „umjerene ozbiljnosti“. Jedna od njih, CVE-2025-9231, potencijalno omogućava hakeru da povrati privatni ključ. Kako se OpenSSL koristi u velikom broju aplikacija, servisa i veb sajtova za zaštitu komunikacija, kompromitovan privatni ključ bi mogao dovesti do dešifrovanja saobraćaja ili man-in-the-middle (MitM) napada.
Ipak, programeri OpenSSL-a naglašavaju da je pogođena samo implementacija SM2 algoritma na 64-bitnim ARM platformama. „OpenSSL ne podržava direktno sertifikate sa SM2 ključevima u TLS-u, pa ova ranjivost u većini TLS scenarija nije relevantna“, objašnjavaju oni. „Međutim, pošto je moguće dodati podršku putem prilagođenog provajdera, i u tom kontekstu bi privatni ključ mogao biti povraćen kroz udaljena mjerenja vremena, smatramo da je ovo problem umjerene ozbiljnosti.“
Druga ranjivost, CVE-2025-9230, opisana je kao out-of-bound read/write greška koja se može iskoristiti za izvršavanje proizvoljnog koda ili DoS napade. I ona je ocijenjena kao umjerene ozbiljnosti. „Iako posljedice uspješnog iskorištavanja mogu biti ozbiljne, vjerovatnoća da bi napadač mogao to da izvede je mala“, navodi se u bezbjednosnom savjetu OpenSSL-a.
Treća ranjivost klasifikovana je kao „niske ozbiljnosti“ i može se iskoristiti za izazivanje pada sistema što dovodi do DoS stanja.
OpenSSL je od poznate Heartbleed ranjivosti značajno unaprijedio bezbjednosne mehanizme. Iako su pojedini propusti i dalje privlačili pažnju, broj i težina otkrivenih ranjivosti u proteklim godinama su relativno niski. Tokom 2025. zakrpljena su samo još tri problema, od kojih je jedan bio visokog rizika – otkriven od strane Apple istraživača, a omogućavao je MitM napade.
Izvor: SecurityWeek
