OpenSSL漏洞被擔心為“嚴重”，但沒有預期的那麼嚴重

期待已久的OpenSSL錯誤修復程式現已推出，以修復嚴重的安全漏洞。新的OpenSSL補丁將錯誤的嚴重性從嚴重降低到高。

Heartbleed漏洞是OpenSSL中的一個數據洩漏漏洞，可以由客戶端和隨機互聯網用戶針對幾乎任何地方的伺服器觸發。

OpenSSL 1.1.1升級到版本1.1.1並修復了一個列出的安全漏洞，但此錯誤缺少安全評級或官方CVE編號，而OpenSSL 3.0升級到版本3.0.7並修復了兩個CVE編號的漏洞，這兩個漏洞都被官方描述為高嚴重性。在發佈 CVE-2022-3602 補丁時，發現了一個新的類似錯誤 CVE-2022-3786。

在補丁發佈之前，CVE-2022-37786 和 CVE-2022-3602 的具體漏洞在很大程度上是未知的，但 Web 安全分析師和公司表示可能存在重大問題和維護痛苦。一些Linux發行版，如Fedora，推遲了發佈，直到補丁可用。同時，這些漏洞主要影響用戶端，而不是伺服器。

用戶現在需要使用OpenSSL 1.1.1s或OpenSSL 3.0.7來替換現在使用的任何版本，因為1.1.1s已經收到了安全補丁。3.0.7 還接收了針對兩個 CVE 編號的高嚴重性漏洞的修復。 1.0.2 將繼續得到支援和更新，但僅適用於與團隊簽訂合同的客戶。

根據OpenSSL安全團隊的一篇博客文章，組織在大約一周內進行了測試並提供了反饋。在某些 Linux 發行版上，攻擊中可能存在的 4 位元組溢出會覆蓋尚未使用的相鄰緩衝區，從而防止系統崩潰或代碼執行。另一個錯誤只允許攻擊者更改溢出的長度，而不是其內容。

這篇文章的來源包括 ArsTechnica的一篇文章。

總結

文章名稱

OpenSSL漏洞被擔心為“嚴重”，但沒有預期的那麼嚴重

描述

新的OpenSSL補丁將期待已久的OpenSSL漏洞的嚴重性從嚴重降低到高度，減輕了最初的恐懼。

作者

奧班拉·奧佩耶米

發行者名稱

燕尾服護理

發行者徽標