OpenSSL將爆出HeartBleed等級的重大漏洞?幸好只是虛驚一場

上周OpenSSL預告將修補一個大家以為是HeartBleed等級的重大安全漏洞,最後還好「只是」高風險漏洞。不過OpenSSL基金會仍然呼籲用戶儘速更新。

上周OpenSSL預告將修補一個大家以為是HeartBleed等級的重大安全漏洞,最後還好「只是」高風險漏洞。不過OpenSSL基金會仍然呼籲用戶儘速更新。

OpenSSL基金會上周預告,將在11月1日釋出OpenSSL 3.0.7以修補漏洞,但透露的訊息有限,只說其中一項最嚴重可導致遠端程式碼執行。由於這是OpenSSL 自2016年以來修補的第一個重大風險漏洞,當時一些安全專家猜測,可能是2014年的HeartBleed漏洞等級的恐怖漏洞。HeartBleed影響全球幾乎所有網路軟體,被稱為史上最嚴重的安全漏洞。

所幸本周二OpenSSL 3.0.7釋出後,Open SSL基金會也公佈,修補的兩款漏洞分別是CVE-2022-37786 和 CVE-2022-3602,都是緩衝溢位漏洞,影響OpenSSL 3.0到3.0.6版。

其中CVE-2022-3602原先被列為重大風險,但最後降為高(high)風險。它是一個有限情況(limited circumstance)的終端溢位漏洞,但現代多數Linux平台的推疊佈局(stack layout)已能產生保護,而且由於大多數用戶都還在使用OpenSSL 1.1.1,因此OpenSSL 3.0還不太普及,也降低了影響層面。

惡意程式專家Marus Hutchins說明,這兩個緩衝溢位漏洞出在puny 程式解碼函式中,以X.509憑證驗證的惡意郵件位置可造成記憶體堆疊溢位,視平台及配置而定,可能導致程式當掉或遠端程式碼執行。但由於該漏洞僅影響終端、不影響伺服器,因此應不致像HeartBleed威脅全球網際網路。

不過,使用OpenSS 3.x的VPN,以及Node.js撰寫的程式仍會受影響。而且根據荷蘭網路安全中心說明,許多主要Linux發行版(特定版本Alpine、Fedora、Ubuntu及CentOS)、虛擬化平台及工具如特定版本Symantec Endpoint Protection Manager,也都被列為受影響及調查中的狀態。OpenSSL基金會仍然認為這是嚴重的安全漏洞,用戶仍應儘速升級到最新版。

目前OpenSSL基金會尚未發現到有攻擊行動,或是可能導致遠端程式碼執行的攻擊程式。

來源:Ars TechnicaBleeping Computer

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416