今天发布的 OpenSSL 3.0.7 修复了自上周以来引起恐慌的两个严重安全问题。
OpenSSL 3.0.7 发布
备受期待的 OpenSSL 3.0.7 现已发布,修复了两个高危 CVE。自 OpenSSL 团队上周报告以来,跨桌面的所有主要 Linux 发行版,最重要的是,服务器管理员一直在等待此修复。由于这个软件包的重要性,一些发行版的发布被推迟了(例如Fedora 37),并且可能是整个行业的一些补丁活动。
这两个高严重性修复都是由于缓冲区溢出,影响整个 OpenSSL 3.0.0 系列(即从 3.0.0 到 3.0.6)。这听起来可能令人担忧,但这两个漏洞自 2021 年发布 3.0.0 以来已经存在了将近一年。
第一个CVE-2022-3786会在恶意电子邮件地址的任意有效载荷和字符“.”时触发。(十进制 46)。第二个漏洞CVE-2022-3602也处理名称约束中具有相同电子邮件地址的另一个有效载荷,检查 X.509 证书。
发行版补丁
截至本文发布时,主要发行版(Debian、Ubuntu、Fedora、RedHat)尚未将其 OpenSSL 软件包更新为 3.0.7 版。
因此,一旦它到达,请确保立即更新您的桌面和服务器。这对于那些通过远程连接到各种服务器处理基于 TLS 的身份验证的人来说至关重要。
