未知的威胁| OpenSSL有重大漏洞

admin 2022年11月2日10:13:14安全新闻评论21 views1067字阅读3分33秒阅读模式

前言

2022 年 10 月 25 日,OpenSSL 项目宣布即将发布 OpenSSL(版本 3.0.7),以解决一个严重的安全漏洞。此版本应在 2022 年 11 月 1 日星期二13点-17点UTC时间之间上线。

关于漏洞

OpenSSL 项目已将此漏洞标记为严重,但表示不会影响 OpenSSL 3.0 之前的版本。这意味着如果你低于 3.0 的 OpenSSL 版本,你现在应该不受影响。OpenSSL 项目的安全政策概述了他们认为的关键漏洞:
这会影响常见的配置,也可能会被利用。示例包括服务器内存内容的大量泄露(可能会泄露用户详细信息)、可以轻松远程利用以破坏服务器私钥的漏洞,或者在常见情况下可能会远程执行代码的漏洞。
简而言之:如果你的是 OpenSSL 3.0 或更高版本,请准备好在 2022 年 11 月 1 日 即升级到即将发布的 3.0.7 版本,以防止潜在的违规行为。

OpenSSL 的易受攻击版本(3.0 及以上)目前用于 Linux 操作系统,包括

  • Ubuntu 22.04 LTS
  • MacOS Ventura
  • Fedora 36 等。

但是,像 Debian 这样的 Linux 发行版仅在其最新版本中包含 OpenSSL 3.x,这些版本仍被视为测试版本,因此在生产系统中的广泛使用可能会受到限制。使用受影响的 Linux 版本构建的容器镜像也将受到影响。
不过值得注意的是,许多流行的 Docker 官方镜像使用 Debian Bullseye (11) 和 Alpine,它们仍然使用 OpenSSL 1.x 并且不受影响。用于处理 Web 流量的 nginx 和 httpd 等项目的 Docker 官方容器镜像也使用 Bullseye 和 Alpine 并且不受影响。

Node.js 18.x 和 19.x 默认也使用 OpenSSL3,估计 Node.js 将在接下来的几天内进行升级。

最后,如果使用 C/C++,他们可能会将 OpenSSL v3 包合并到他们的代码中。你应该检查此代码以获取相关的 OpenSSL 包。

如何查看自己是否受影响?


如果你是 Linux 用户,可以直接通过在终端中运行 openssl version 命令来验证使用的OpenSSL版本:

未知的威胁| OpenSSL有重大漏洞

openssl version 

如何缓解新的 OPENSSL 漏洞

让团队成员了解漏洞公告和即将于 2022 年 11 月 1 日星期二发布的安全版本。确保你的团队了解该问题并且即将发布的版本是最好的准备方式。
评估你的应用程序和基础架构,以确定你是否在任何地方使用 OpenSSL 3.0 或更高版本。准备在 2022 年 11 月 1 日星期二更新任何容易受攻击的主机。


原文始发于微信公众号(Aaron与安全的那些事):未知的威胁| OpenSSL有重大漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月2日10:13:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  未知的威胁| OpenSSL有重大漏洞 http://cn-sec.com/archives/1383114.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: