科林蒂埃里
OpenSSL 项目最近修补了其用于加密通信通道和 HTTPS 连接的开源密码库中的两个高严重性安全漏洞。
这些漏洞(CVE-2022-3602和CVE-2022-3786) 影响 OpenSSL 版本 3.0.0 及更高版本,并在 OpenSSL 3.0.7 中得到解决。
CVE-2022-3602 可被利用来导致崩溃或远程代码执行 (RCE),而威胁参与者可通过恶意电子邮件地址利用 CVE-2022-3786 来触发拒绝服务状态。
“我们仍然认为这些问题是严重的漏洞,鼓励受影响的用户尽快升级,”OpenSSL 团队在 声明 周二。
“我们不知道任何可能导致远程代码执行的有效漏洞利用,并且截至本文发布时,我们没有证据表明这些问题被利用,”它补充道。
根据 OpenSSL 的 安全政策, 公司(如 ExpressVPN) 和 IT 管理员是 警告 上周在他们的环境中搜索漏洞并准备在 OpenSSL 3.0.7 发布后对其进行修补。
“如果你提前知道你在哪里使用 OpenSSL 3.0+ 以及你是如何使用它的,那么当公告发布时,你将能够快速确定你是否或如何受到影响以及你需要修补什么,” 说过 OpenSSL 创始人 Mark J Cox 在 Twitter 帖子中。
OpenSSL 还提供了缓解措施,要求管理员操作传输层安全 (TLS) 服务器禁用 TLS 客户端身份验证,直到应用补丁。
鉴于 CVE-2022-3602 已从严重降级为高严重性,并且仅影响 OpenSSL 3.0 及更高版本的实例,这些漏洞的影响比最初想象的要有限得多。
每个云安全公司 Wiz.io,在分析跨主要云环境(包括 AWS、GCP、Azure、OCI 和阿里云)的部署后,发现只有 1.5% 的 OpenSSL 实例受到安全漏洞的影响。
荷兰国家网络安全中心也分享了一个 名单 的软件产品确认不受 OpenSSL 漏洞影响。
