OpenSSL 曝两个高危漏洞,CentOS、Ubuntu、Debian 等受影响

公众号关注 「奇妙的 Linux 世界」

设为「星标」,每天带你玩转 Linux !

0a430b75bc102fef53cb851b8763df7d.jpeg


Bleeping Computer 网站披露,OpenSSL 修补了其用于加密通信通道和 HTTPS 连接的开源密码库中两个高危漏洞。漏洞分别追踪为 CVE-2022-3602 和 CVE-2022-3786,主要影响 OpenSSL 3.0.0 及更高版本,现已在 OpenSSL 3.0.7 中得到解决。

据悉,CVE-2022-3602 是一个任意 4 字节堆栈缓冲区溢出漏洞,可能导致拒绝服务或远程代码执行。CVE-2022-3786 可以被攻击者通过恶意电子邮件地址利用,通过缓冲区溢出触发拒绝服务状态。

OpenSSL 团队表示,虽然目前没有证据表明这两个漏洞已经被利用,但鉴于其具有很高的危险性,希望受影响用户尽快安装更新升级补丁,以免遭受网络威胁。此外,OpenSSL 还提供了一些其它缓解措施,例如直到应用新补丁前,要求操作 TLS 服务器的管理员禁用 TLS 客户端认证。


CVE-2022-3602 漏洞危险指数下降

值得一提的是,OpenSSL 最初发布的漏洞警告促使了管理员立即采取行动缓解漏洞,但之后鉴于 CVE-2022-3602 已被降级为高度严重,况且它只影响 OpenSSL 3.0 及更高版本,另外与 OpenSSL 密码库早期版本相比,最近发布的版本也尚未大量部署到生产中使用的软件上,因此造成的实际影响可能很有限。

尽管一些安全专家和供应商将此漏洞的危险性等同于 Apache Log4J 日志库中的 Log4Shell 漏洞,但在Censys 在线发现的 1793000 多个主机中,只有大约 7000个暴露在互联网上的系统正在运行易受攻击的OpenSSL 版本,Shodan 也列出了大约 16000 个可公开访问的 OpenSSL 实例。

此外,云安全公司 Wiz.io 也表示,在分析了主要云环境(AWS、GCP、Azure、OCI和阿里巴巴云)中的部署后,发现只有 1.5% 的 OpenSSL 实例受到这一安全漏洞的影响。

81d6c82318eb6665205371ab6ed6cc63.jpeg(流行 CSP 中存在漏洞的 OpenSSL 实例)

最新的 OpenSSL 版本包含在多个流行的 Linux 发行版中,其中 Redhat Enterprise Linux 9、Ubuntu 22.04+、CentOS Stream9、Kali 2022.3、Debian 12 和 Fedora 36 被网络安全公司 Akamai标记为有漏洞,荷兰国家网络安全中心目前也正在确认一份受 CVE-2022-3602 漏洞影响的软件产品清单。

参考文章:

https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/

本文转载自:「FreeBuf」,原文:https://url.hi-linux.com/0p5jE,版权归原作者所有。欢迎投稿,投稿邮箱: editor@hi-linux.com。

13864c26ab7494f898d1be3c97c84cff.gif

最近,我们建立了一个技术交流微信群。目前群里已加入了不少行业内的大神,有兴趣的同学可以加入和我们一起交流技术,在 「奇妙的 Linux 世界」 公众号直接回复 「加群」 邀请你入群。

f5de03dfcc4a9d2b181c5df354458330.png

你可能还喜欢

点击下方图片即可阅读

ccb5db2e44cafb3148bf476efef27454.png

Kubernetes 集群疑难杂症排障:服务器 IP 变更后集群故障了,我该如何修复?

c97d89347766d7b9932686229b401f08.png
点击上方图片,『美团|饿了么』外卖红包天天免费领

14ec82933bd7437e5bbcddc788350753.png

更多有趣的互联网新鲜事,关注「奇妙的互联网」视频号全了解!

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值