未知的威胁| OpenSSL有重大漏洞

前言

2022 年 10 月 25 日，OpenSSL 项目宣布即将发布 OpenSSL（版本 3.0.7），以解决一个严重的安全漏洞。此版本应在 2022 年 11 月 1 日星期二13点-17点UTC时间之间上线。

关于漏洞

OpenSSL 项目已将此漏洞标记为严重，但表示不会影响 OpenSSL 3.0 之前的版本。这意味着如果你低于 3.0 的 OpenSSL 版本，你现在应该不受影响。OpenSSL 项目的安全政策概述了他们认为的关键漏洞：
这会影响常见的配置，也可能会被利用。示例包括服务器内存内容的大量泄露（可能会泄露用户详细信息）、可以轻松远程利用以破坏服务器私钥的漏洞，或者在常见情况下可能会远程执行代码的漏洞。
简而言之：如果你的是 OpenSSL 3.0 或更高版本，请准备好在 2022 年 11 月 1 日 即升级到即将发布的 3.0.7 版本，以防止潜在的违规行为。

OpenSSL 的易受攻击版本（3.0 及以上）目前用于 Linux 操作系统，包括

• Ubuntu 22.04 LTS
• MacOS Ventura
• Fedora 36 等。

但是，像 Debian 这样的 Linux 发行版仅在其最新版本中包含 OpenSSL 3.x，这些版本仍被视为测试版本，因此在生产系统中的广泛使用可能会受到限制。使用受影响的 Linux 版本构建的容器镜像也将受到影响。
不过值得注意的是，许多流行的 Docker 官方镜像使用 Debian Bullseye (11) 和 Alpine，它们仍然使用 OpenSSL 1.x 并且不受影响。用于处理 Web 流量的 nginx 和 httpd 等项目的 Docker 官方容器镜像也使用 Bullseye 和 Alpine 并且不受影响。

Node.js 18.x 和 19.x 默认也使用 OpenSSL3，估计 Node.js 将在接下来的几天内进行升级。

最后，如果使用 C/C++，他们可能会将 OpenSSL v3 包合并到他们的代码中。你应该检查此代码以获取相关的 OpenSSL 包。

如何查看自己是否受影响?

如果你是 Linux 用户，可以直接通过在终端中运行 openssl version 命令来验证使用的OpenSSL版本：

openssl version 

如何缓解新的 OPENSSL 漏洞

让团队成员了解漏洞公告和即将于 2022 年 11 月 1 日星期二发布的安全版本。确保你的团队了解该问题并且即将发布的版本是最好的准备方式。
评估你的应用程序和基础架构，以确定你是否在任何地方使用 OpenSSL 3.0 或更高版本。准备在 2022 年 11 月 1 日星期二更新任何容易受攻击的主机。