维护 OpenSSL 的团队在周二披露了两个影响最新版本软件的漏洞,OpenSSL 是广泛使用的开源软件的关键部分,用于为互联网通信提供加密。 然而,在上周的提醒公告中最初将这些漏洞评为“严重”之后,新漏洞已被降级为“高”严重等级,尽管仍敦促管理员快速修补系统。 OpenSSL 项目团队上周透露,将在 11 月 1 日公布一个新漏洞,但没有提供具体细节。由于 OpenSSL 的无处不在以及该软件中先前披露的关键漏洞(2014 年的 Heartbleed 漏洞)的巨大影响,该公告在网络安全界引起了极大关注。 据 Firefox 称,OpenSSL 通过为 HTTPS 协议提供底层技术来实现安全的互联网通信,目前全球 82% 的页面加载都使用 OpenSSL 。Heartbleed 漏洞影响了大量主要网站,并导致了包括加拿大数百个社会保险号码被盗在内的攻击,这导致加拿大税务局关闭了一个纳税申报网站。 该漏洞仅影响 OpenSSL 3.0 及更高版本。来自网络安全供应商 Wiz 的数据表明,只有 1.5% 的 OpenSSL 实例受到该漏洞的影响。 这至少部分是由于 OpenSSL 3.0 相对较新的到来,该版本于 2021 年 9 月发布。 “[鉴于]该漏洞主要是客户端,需要由受信任的 CA 签署恶意证书(或用户忽略警告),并且利用起来很复杂,我估计看到的可能性很小 -野蛮的利用,”安全研究员马库斯·哈钦斯 (Marcus Hutchins) 在一篇帖子中写道。 带有漏洞补丁的 OpenSSL 新版本是 OpenSSL 3.0.7。 软件供应链安全供应商 Sonatype 的联合创始人兼首席技术官 Brian Fox 表示,上周对新版本的预先公告可能是为了让组织有时间在披露漏洞的全部细节之前确定他们的应用程序是否会受到影响。 鉴于恶意行为者倾向于快速利用网络攻击中的主要漏洞,许多人预计攻击者将在披露后不久开始寻求利用该问题。 新漏洞都涉及缓冲区溢出问题,这是软件代码中的一个常见错误,可以使攻击者未经授权访问部分内存。 在周二披露的第一个漏洞中,该漏洞被赋予了跟踪器 CVE-2022-3602,“攻击者可以制作恶意电子邮件地址来溢出堆栈上的四个攻击者控制的字节,”OpenSSL 团队在关于问题。 该公告称,由此产生的缓冲区溢出可能导致崩溃,或者可能导致代码的远程执行。 根据有关该问题的 OpenSSL 公告,由于分析确定某些缓解因素应使其成为不太严重的问题,该漏洞的严重性等级被降级为“高”。 “许多平台实施了堆栈溢出保护,这将减轻远程代码执行的风险,”OpenSSL 团队在公告中写道。 一项初步分析表明,利用该漏洞比它可能的更困难,因为问题发生在加密证书验证之后。 对于在 CVE-2022-3786 中跟踪的第二个漏洞,可以利用恶意电子邮件地址导致缓冲区溢出并导致系统崩溃,但没有提到远程代码执行作为潜在问题。