- 上周,OpenSSL 项目宣布了一个关键漏洞和即将修复的开源软件库。
- 现在,OpenSSL 3.0.7 版本发布,修复了这个漏洞;官员敦促用户立即更新他们的 OpenSSL 实例。
- 据说该漏洞仅影响版本 3.x 系列;但是,完整的细节尚未披露,以便人们有时间修补他们的系统。
确保网络通信安全的软件库 OpenSSL 目前存在严重漏洞;正如我们上周提到的,它将在 3.0.7 版本中修复。除了补丁的发布日期和时间,OpenSSL 项目的公告中没有提供任何细节;OpenSSL 3.0.7 将于 11 月 1 日 13:00 – 17:00 UTC 交付。现在,补丁准备好了。
标记为“关键”
虽然该漏洞被标记为“严重”,这意味着它的 CVSS 分数高于 8.9,但该组织表示它不会影响低于 3.0 的 OpenSSL 版本。OpenSSL 3.x 版本目前用于Ubuntu 22.04 LTS、Fedora 36和其他一些基于Linux的操作系统。在Ubuntu 22.04.1 LTS中,预装了 3.0.2 版本,被认为是易受攻击的版本。
此外,Node.js 18.x 和 19.x 版本默认使用 OpenSSL 3 系列;他们也应该在几天内立即收到补丁。像Debian这样的一些 Linux 发行版正在使用较旧的 OpenSSL 系列;所以无需担心。您可以使用以下简单命令检查基于 Linux 的操作系统上的 OpenSSL 版本:
openssl version由于这是一个非常近期的漏洞,OpenSSL 项目没有提供有关该漏洞的任何详细信息,以便给用户时间修补他们的系统。但由于它是一个严重漏洞,我们强烈建议立即修补 OpenSSL 库。您可以使用以下链接下载 OpenSSL 的固定版本:
