openssl为3.0及以上版本的高级漏洞发布补丁
发布时间:2022-11-04 发布者:青蛙数字安全
OpenSSL建议企业尽快修补他们的OpenSSL 3.0及以上版本的实施方案
目前,没有已知的现有漏洞
证书不需要重新签发或更换
未知该漏洞对DigiCert的影响
今天,OpenSSL项目组发布了一个 "安全补丁"(版本3.0.7),以解决3.0及以上版本中的一个高级关键漏洞。OpenSSL是一个常用的开源软件库,因此OpenSSL的漏洞有可能造成很大的破坏。然而,3.0版本是在2021年9月发布的,所以只有那些使用最近的3.0及以上版本的应用程序受到影响。任何使用旧版本的应用程序都不会受到该漏洞的影响。用我们的指南检查你正在使用哪个版本的OpenSSL。关于受此漏洞影响和不受影响的软件的完整列表,请查看这里:https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software。
OpenSSL最初将CVE-2022-3602标记为最高严重程度的 "关键",OpenSSL将其定义为 "影响常见配置,也有可能被利用 "的漏洞。但它已被降级为 "高 "严重性,OpenSSL将其定义为 "比严重性低的风险,可能是由于影响到不太常见的配置,或者不太可能被利用。" 然而,它仍然应该尽快升级。
DigiCert的客户会受到什么影响?
对DigiCert客户或DigiCert的运作没有已知的影响。
有什么风险?
目前,OpenSSL还没有发现任何现有的对该漏洞的利用。根据OpenSSL的说法,"任何验证从不可信任的来源收到的X.509证书的OpenSSL 3.0应用都应该被认为是有漏洞的。这包括TLS客户端,以及被配置为使用TLS客户端认证的TLS服务器"。替换TLS/SSL服务器证书将是没有必要的。
我应该做什么?
建议企业扫描他们的系统是否使用OpenSSL 3.0及以上版本,如果发现任何实例,应尽快升级到3.0.7。此外,如果你使用第三方应用程序,你应该向供应商查询他们是否使用OpenSSL 3.0及以上版本,并要求他们在必要时也打补丁。最后,任何新的应用程序应该使用OpenSSL 3.0.7。
使用3.0之前的OpenSSL版本的应用程序不需要立即更新,但管理人员应该知道,OpenSSL 1.1.1将只支持到2023年9月11日。此外,OpenSSL建议所有用户更新到最新版本。