OpenSSL 將爆出 HeartBleed 等級的重大漏洞?幸好只是虛驚一場

上周OpenSSL預告將修補一個大家以為是HeartBleed等級的重大安全漏洞,最後還好「只是」高風險漏洞。不過OpenSSL基金會仍然呼籲用戶儘速更新。

上周 OpenSSL 預告將修補一個大家以為是 HeartBleed 等級的重大安全漏洞,最後還好「只是」高風險漏洞。不過 OpenSSL 基金會仍然呼籲用戶儘速更新。

OpenSSL 基金會上周預告,將在 11 月 1 日釋出 OpenSSL 3.0.7 以修補漏洞,但透露的訊息有限,只說其中一項最嚴重可導致遠端程式碼執行。由於這是 OpenSSL 自 2016 年以來修補的第一個重大風險漏洞,當時一些安全專家猜測,可能是 2014 年的 HeartBleed 漏洞等級的恐怖漏洞。HeartBleed 影響全球幾乎所有網路軟體,被稱為史上最嚴重的安全漏洞。

所幸本周二 OpenSSL 3.0.7 釋出後,Open SSL 基金會也公佈,修補的兩款漏洞分別是 CVE-2022-37786 和 CVE-2022-3602,都是緩衝溢位漏洞,影響 OpenSSL 3.0 到 3.0.6 版。

其中 CVE-2022-3602 原先被列為重大風險,但最後降為高 (high) 風險。它是一個有限情況 (limited circumstance) 的終端溢位漏洞,但現代多數 Linux 平台的推疊佈局 (stack layout) 已能產生保護,而且由於大多數用戶都還在使用 OpenSSL 1.1.1,因此 OpenSSL 3.0 還不太普及,也降低了影響層面。

惡意程式專家 Marus Hutchins 說明,這兩個緩衝溢位漏洞出在 puny 程式解碼函式中,以 X.509 憑證驗證的惡意郵件位置可造成記憶體堆疊溢位,視平台及配置而定,可能導致程式當掉或遠端程式碼執行。但由於該漏洞僅影響終端、不影響伺服器,因此應不致像 HeartBleed 威脅全球網際網路。

不過,使用 OpenSS 3.x 的 VPN,以及 Node.js 撰寫的程式仍會受影響。而且根據荷蘭網路安全中心說明,許多主要 Linux 發行版(特定版本 Alpine、Fedora、Ubuntu 及 CentOS)、虛擬化平台及工具如特定版本 Symantec Endpoint Protection Manager,也都被列為受影響及調查中的狀態。OpenSSL 基金會仍然認為這是嚴重的安全漏洞,用戶仍應儘速升級到最新版。

目前 OpenSSL 基金會尚未發現到有攻擊行動,或是可能導致遠端程式碼執行的攻擊程式。

來源:Ars TechnicaBleeping Computer

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416