OpenSSL 修補了其用於加密通信通道和 HTTPS 連接的開源密碼庫中兩個高危險漏洞:CVE-2022-3602 和 CVE-2022-3786,主要影響 OpenSSL 3.0.0 及更高版本,現已在 OpenSSL 3.0.7 中得到解決。
據了解,CVE-2022-3602 是一個任意 4 位元組堆疊緩衝區溢位漏洞,可能導致拒絕服務或遠端程式碼執行。CVE-2022-3786 可以讓攻擊者透過惡意電子郵寄地址利用,藉由緩衝區溢位觸發拒絕服務狀態。
OpenSSL 團隊表示,雖然目前沒有證據表明這兩個漏洞已經被利用,但鑒於其具有很高的危險性,希望受影響用戶儘快安裝更新升級補丁,以免遭受網路威脅。此外,OpenSSL 還提供了一些其它緩解措施,例如直到應用新補丁前,要求操作 TLS 伺服器的管理員禁用 TLS 用戶端認證。
CVE-2022-3602 漏洞危險指數下降
值得一提的是,OpenSSL 最初發佈的漏洞警告促使了管理員立即採取行動緩解漏洞,但之後鑒於 CVE-2022-3602 已被降級為高度嚴重,況且它只影響 OpenSSL 3.0 及更高版本,另外與 OpenSSL 密碼庫早期版本相比,最近發佈的版本也尚未大量部署到生產中使用的軟體上,因此造成的實際影響可能很有限。
儘管一些安全專家和供應商將此漏洞的危險性等同於 Apache Log4Shell 漏洞,但在Censys 線上發現的 1793000 多個主機中,只有大約 7000個暴露在網路上的系統運行易受攻擊的OpenSSL 版本,Shodan 也列出了大約 16000 個可公開訪問的 OpenSSL 實例。
此外,雲安全公司 Wiz.io 也表示,在分析了主要雲環境(AWS、GCP、Azure、OCI和阿里雲)中的部署後,發現只有 1.5% 的 OpenSSL 實例受到這一安全性漏洞的影響。
最新的 OpenSSL 版本包含在多個流行的 Linux 發行版本中,其中 Redhat Enterprise Linux 9、Ubuntu 22.04+、CentOS Stream9、Kali 2022.3、Debian 12 和 Fedora 36 被 Akamai標記為有漏洞,荷蘭國家網路安全中心目前也正在確認受 CVE-2022-3602 漏洞影響的軟體產品清單。
本文轉載自Bleepingcomputer.com。