OpenSSL 项目在其用于加密通信通道和 HTTPS 连接的开源密码库中修补了两个严重程度高的安全漏洞。
这些漏洞(CVE-2022-3602 和 CVE-2022-3786 ) 影响 OpenSSL 3.0.0 及更高版本,并已在 OpenSSL 3.0.7 中得到解决。
CVE-2022-3602 是任意 4 字节堆栈缓冲区溢出,可能触发崩溃或导致远程代码执行 (RCE),而 CVE-2022-3786 可被攻击者通过恶意电子邮件地址利用来触发拒绝服务状态通过缓冲区溢出。
“我们仍然认为这些问题是严重的漏洞,鼓励受影响的用户尽快升级,”OpenSSL 团队表示。
“我们不知道任何可能导致远程代码执行的有效漏洞利用,并且截至本文发布时,我们没有证据表明这些问题被利用。”
根据 Open SSL 的 政策,自 10 月 25 日以来,组织和 IT 管理员已被 警告 在其环境中搜索易受攻击的实例,并为 OpenSSL 3.0.7 发布时的修补做好准备。
“如果你提前知道你在哪里使用 OpenSSL 3.0+ 以及你是如何使用它的,那么当公告发布时,你将能够快速确定你是否或如何受到影响以及你需要修补什么,”Cox 说。
OpenSSL 还提供缓解措施,要求管理员操作 TLS 服务器禁用 TLS 客户端身份验证,直到应用补丁。
无事生非?
虽然最初的警告提示管理员立即采取行动来缓解漏洞,但实际影响要有限得多,因为 CVE-2022-3602(最初被评为严重)已被降级为高严重性,并且仅影响 OpenSSL 3.0 和更高版本的实例.
与 OpenSSL 库的早期版本相比,这些最近发布的版本还没有大量部署到生产中使用的软件。
此外,尽管一些安全专家和供应商已将此漏洞的发现与 Apache Log4J 日志库中的 Log4Shell 漏洞等同起来,但在 总共超过 1,793,000 个唯一主机中,只有大约 7,000 个暴露在 Internet 上的系统运行易受攻击的 OpenSSL 版本。 Censys online — Shodan 列出了 大约 16,000 个可公开访问的 OpenSSL 实例。
云安全公司 Wiz.io 还表示, 在分析了跨主要云环境(即 AWS、GCP、Azure、OCI 和阿里云)的部署后,发现只有 1.5% 的 OpenSSL 实例受到此安全漏洞的影响。
荷兰国家网络安全中心正在 维护 一份已确认(未)受此 OpenSSL 漏洞影响的软件产品列表。
最新的 OpenSSL 版本包含在多个流行的 Linux 发行版的最新版本中,其中 Redhat Enterprise Linux 9、Ubuntu 22.04+、CentOS Stream9、Kali 2022.3、Debian 12 和 Fedora 36 被网络安全公司 Akamai标记 为易受攻击。
Akamai 还共享了 OSQuery 和 YARA 规则 ,以帮助安全团队找到易受攻击的资产,并在安全更新发布后将它们排队等待修补。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » OpenSSL修复了两个高危漏洞,你需要知道的
