[ad_1]
OpenSSL 正在准备打补丁 (在新标签中打开) 这是八年来的第一个严重缺陷。 OpenSSL 项目宣布了一项新的软件更新,该更新应修复开源工具包中的几个漏洞,包括一个被定义为严重的漏洞。
“OpenSSL 项目团队希望宣布即将发布的 OpenSSL 版本 3.0.7。 此版本将于 2022 年 11 月 1 日星期二 1300-1700 UTC 之间发布。” 阅读公告 (在新标签中打开). “OpenSSL 3.0.7 是一个安全修复版本。 此版本中修复的最高严重性问题是 CRITICAL。”
开发人员说:“示例包括服务器内存内容的大量披露(可能会泄露用户详细信息)、可以轻松远程利用以破坏服务器私钥的漏洞,或者在常见情况下认为可能执行远程代码的漏洞。”
下个月发布补丁
该漏洞影响版本 3.0 和更新版本,是 OpenSSL 项目解决的第二个严重漏洞,Heartbleed (CVE-2014-0160) 是 2014 年的第一个漏洞。
3.0.7 版本的发布日期现在定为 11 月 1 日。开发人员将其描述为“安全修复版本”。 同时,将在同一天发布一个错误修复版本 1.1.1s。
Sonatype 的首席技术官 Brian Fox 似乎对 OpenSSL 项目解决该问题的方式不太满意,称这将开发人员置于危险境地:
“到目前为止,我们所知道的是,该问题被团队认为是严重的,这只是 OpenSSL 中的第二个严重漏洞,因为他们在 2014 年 Heartbleed 漏洞和后果之后开始跟踪。我们知道这似乎只影响 3.0 及更高版本,但不知道这个问题的适用范围或容易利用程度,以及它将在 11 月 1 日完全披露。”
然后他继续提出三个假设性问题:如果一家公司了解到一个新漏洞,就像 OpenSSL 项目刚刚宣布的那样,IT 专业人员需要多长时间才能了解他的公司是否在任何地方使用该组件的任何版本在其产品组合中,它在哪些应用程序中使用了受影响的版本,以及公司需要多长时间才能修复问题——暗示潜在的灾难即将来临。
“如果你不能立即回答我上面提出的三个问题,你有六天的时间来准备,”他警告说。 “时钟在滴答作响。”
另一方面,OpenSSL 核心团队成员 Mark J. Cox 认为,由于有关该漏洞的详细信息如此稀缺,骗子在修补之前滥用它的可能性很小。 他建议,在补丁发布时提醒 IT 团队远远超过骗子滥用该漏洞的潜在风险:
“鉴于 3.0 中的变化数量以及缺乏任何其他上下文信息, [threat actors going through the commit history between versions 3.0 and the current one to find anything] 非常不可能,”他在推特上写道。
途径:安全事务 (在新标签中打开)
[ad_2]
Source link
