今天发布的OpenSSL3.0.7修复了自上周以来引发恐慌的两个关键安全问题。
OpenSSL 3.0.7版本
备受期待的OpenSSL3.0.7现已发布,修复了两个严重程度较高的CVE。自从OpenSSL团队上周报告了这个补丁以来,桌面上所有主要的Linux发行版,最重要的是,服务器管理员都在等待这个补丁。由于这个包的紧迫性,一些发行版的发布被推迟了(比如Fedora37),可能还有整个行业的一些补丁活动。
这两个严重程度较高的修复都是由于缓冲区溢出造成的,缓冲区溢出会影响整个OpenSSL 3.0.0系列(即从3.0.0到3.0.6)。这可能听起来令人担忧,但自2021年发布3.0.0以来,这两个漏洞已经存在了近一年。
第一个CVE-2022-3786在恶意电子邮件地址带有任意有效负载字符“时触发。(十进制46)。第二个漏洞CVE-2022-3602还处理名称约束中具有相同电子邮件地址的另一个有效负载,以检查X.509证书。
发行版打补丁
在发布这篇文章的时候,主要的发行版(Debian、Ubuntu、Fedora、RedHat)还没有将他们的OpenSSL包更新到3.0.7版。
因此,一旦它到达,确保您立即更新您的台式机和服务器。对于那些通过远程连接到各种服务器处理基于TLS的身份验证的人来说,这是至关重要的。
请关注下面的页面,以获取主要Linux发行版的更新包。
- Ubuntu(Jammy)
- 软呢帽
- Debian(书虫,测试)
看来,那些使用Linux的人速度超快。它已经在发布后的两个小时内进入了分阶段回购!
通过OpenSSL发行说明。
