OpenSSL3.0.7修复了两个存在缓冲区溢出的高CVE

2023年 7月 12日 33.5k 0

今天发布的OpenSSL3.0.7修复了自上周以来引发恐慌的两个关键安全问题。

OpenSSL 3.0.7版本

备受期待的OpenSSL3.0.7现已发布,修复了两个严重程度较高的CVE。自从OpenSSL团队上周报告了这个补丁以来,桌面上所有主要的Linux发行版,最重要的是,服务器管理员都在等待这个补丁。由于这个包的紧迫性,一些发行版的发布被推迟了(比如Fedora37),可能还有整个行业的一些补丁活动。

这两个严重程度较高的修复都是由于缓冲区溢出造成的,缓冲区溢出会影响整个OpenSSL 3.0.0系列(即从3.0.0到3.0.6)。这可能听起来令人担忧,但自2021年发布3.0.0以来,这两个漏洞已经存在了近一年。

第一个CVE-2022-3786在恶意电子邮件地址带有任意有效负载字符“时触发。(十进制46)。第二个漏洞CVE-2022-3602还处理名称约束中具有相同电子邮件地址的另一个有效负载,以检查X.509证书。

发行版打补丁

在发布这篇文章的时候,主要的发行版(Debian、Ubuntu、Fedora、RedHat)还没有将他们的OpenSSL包更新到3.0.7版。

因此,一旦它到达,确保您立即更新您的台式机和服务器。对于那些通过远程连接到各种服务器处理基于TLS的身份验证的人来说,这是至关重要的。

请关注下面的页面,以获取主要Linux发行版的更新包。

  • Ubuntu(Jammy)
  • 软呢帽
  • Debian(书虫,测试)

看来,那些使用Linux的人速度超快。它已经在发布后的两个小时内进入了分阶段回购!

通过OpenSSL发行说明。

相关文章

塑造我成为 CTO 之路的“秘诀”
“人工智能教母”的公司估值达 10 亿美金
教授吐槽:985 高校成高级蓝翔!研究生基本废了,只为房子、票子……
Windows 蓝屏中断提醒开发者:Rust 比 C/C++ 更好
Claude 3.5 Sonnet 在伽利略幻觉指数中名列前茅
上海新增 11 款已完成登记生成式 AI 服务

发布评论