Platform
openssl
Component
openssl
Opgelost in
0.10.9
CVE-2018-20997 beschrijft een Use-After-Free kwetsbaarheid in de OpenSSL crate. Deze kwetsbaarheid stelt aanvallers in staat om applicaties te laten crashen of, in sommige gevallen, code uit te voeren. De kwetsbaarheid treft versies van OpenSSL die eerder dan 0.10.9 zijn uitgebracht. Een patch is beschikbaar in versie 0.10.9.
Een succesvolle exploitatie van deze Use-After-Free kwetsbaarheid kan leiden tot een denial-of-service (DoS) door de applicatie te laten crashen. Er is ook een risico op code-uitvoering, waardoor een aanvaller de controle over het systeem kan overnemen. De ernst van de impact hangt af van de context waarin OpenSSL wordt gebruikt en de privileges van de applicatie die de kwetsbare code aanroept. Het is vergelijkbaar met andere Use-After-Free kwetsbaarheden die in de afgelopen jaren zijn ontdekt, waarbij geheugen corruptie wordt gebruikt om de controle over de programmastroom te verkrijgen.
Deze kwetsbaarheid werd publiek bekendgemaakt op 1 juni 2018. Er zijn geen bekende actieve campagnes gerapporteerd die deze specifieke kwetsbaarheid uitbuiten, maar de Use-After-Free aard ervan maakt het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de potentiële dreiging aantoont. Er zijn publieke proof-of-concept exploits beschikbaar.
Applications and systems that rely on the OpenSSL crate, particularly those handling sensitive data or performing critical operations, are at risk. This includes Rust-based web applications, command-line tools, and embedded systems utilizing the crate for secure communication.
• rust / supply-chain: Examine dependencies for versions prior to 0.10.9 using cargo audit. Check for unusual memory access patterns in code using OpenSSL crate functions.
• generic web: Monitor application logs for crashes or errors related to OpenSSL.
• database (mysql, redis, mongodb, postgresql): If OpenSSL is used for TLS/SSL connections, check the OpenSSL version used by the database client library.
disclosure
Exploit Status
EPSS
0.50% (66% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2018-20997 is het upgraden naar OpenSSL versie 0.10.9 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van WAF-regels die pogingen tot exploitatie detecteren en blokkeren. Het is belangrijk om de configuratie van OpenSSL te controleren en te zorgen voor een veilige configuratie. Er zijn geen specifieke YARA of Sigma patronen bekend voor deze kwetsbaarheid, maar algemene patronen voor geheugen corruptie kunnen nuttig zijn.
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2018-20997 is a critical vulnerability in the OpenSSL crate where memory is accessed after it has been freed, potentially leading to code execution.
You are affected if you are using the OpenSSL crate versions prior to 0.10.9. Check your project dependencies to determine if you are vulnerable.
Upgrade to OpenSSL crate version 0.10.9 or later to resolve this vulnerability. Ensure all dependent libraries are also updated.
While no confirmed active exploitation campaigns are publicly known, Use-After-Free vulnerabilities are frequently targeted, so vigilance is advised.
Refer to the OpenSSL project's security advisories and release notes for details: https://www.openssl.org/news/security/
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.