OpenSSL中发现的新严重漏洞，你现在需要知道的

本文为2022年10月31日发表的英文博客新的 OpenSSL 严重漏洞：你需要知道的这是翻译成日文的内容。

2022 年 10 月 25 日，OpenSSL 项目宣布即将发布 OpenSSL（版本 3.0.7）以解决一个关键的安全漏洞。公布.此版本应在 2022 年 11 月 1 日 13:00-17:00 UTC 之间发布。Snyk 发布了一个占位符公告，其中包含目前已知的信息，当漏洞的详细信息正式发布时，我们将更新此公告。

在 OpenSSL 中最近的严重漏洞是于 2016 年公布。一旦知道详细信息，我们的安全团队将立即披露此漏洞。Snyk 漏洞数据库添加

关于此漏洞

OpenSSL 项目将此漏洞评为严重，但声明它不影响 OpenSSL 3.0 之前的版本。因此，如果您使用的是低于 3.0 的 OpenSSL 版本，您现在应该不会受到影响。

OpenSSL 项目的安全政策显示了 OpenSSL 项目认为的关键漏洞：

这（严重漏洞）会影响常用设置并且可以被利用。例如，服务器内存内容的重大泄露（可能暴露用户信息）、允许轻松远程攻击以泄露服务器私钥的漏洞，或常见情况下的远程代码执行（RCE）性别等。这些问题将不会公开，我们将为所有受支持的版本提供一个新版本。我们将尽快解决这些问题。

总之，如果你使用的是 OpenSSL 3.0 或更高版本，请准备立即升级到 3.0.7，计划于 2022 年 11 月 1 日星期二发布，以防止将来发生安全事件。请给我。

目前，Ubuntu 22.04 LTS、Fedora 36、MacOS Ventura等Linux操作系统中使用了易受攻击的OpenSSL版本（3.0及以上）。但是，Debian 等 Linux 发行版仅在其最新版本中包含 OpenSSL 3.x，这些版本仍被认为是测试版，并且在生产系统中的采用可能有限。使用受影响的 Linux 版本构建的任何容器映像也会受到影响。然而，许多官方 Docker 镜像使用 Debian Bullseye (11) 和 Alpine。值得注意的是，这些发行版仍然使用 OpenSSL 1.x 并且不受影响。用于处理 Web 流量的流行项目（如 nginx 和 httpd）的 Docker 官方容器镜像也使用 Bullseye 和 Alpine 并且不受影响。

Node.js 18.x 和 19.x 默认也使用 OpenSSL3，所以预计在接下来的几天内 Node.js 会升级。

最后，如果您的开发人员使用 C/C++，他们很可能在代码中包含了 OpenSSL v3 包。您应该检查是否有任何与此代码相关的 OpenSSL 包。

如何检查您是否受到影响

如果您有 Snyk 的商业或企业计划，您可以搜索所有包含易受攻击版本的 OpenSSL (3.0.x) 的项目。报告去依赖项在搜索框中输入“openssl”，搜索包含3.0.x版本的项目。项目导航到相关项目的链接。如果需要，也可以将数据导出到 CSV 文件。

有权访问 Snyk API（商业和企业计划）的客户也可以使用 API 来提取这些数据。例如，由 Snyk Labs 团队提供snyk-deps-to-csv用于将依赖包提取到 CSV 的实用程序。再次，依赖 API您还可以访问

任何 Snyk 用户，包括拥有免费帐户的用户，都可以通过访问 Snyk 仪表板、选择项目、单击“依赖项”选项卡并搜索“openssl”来扫描易受攻击的 OpenSSL 版本。同样，OpenSSL 3.0.x 版本将受到影响。

如果您还没有使用 Snyk 测试过您的项目，Snyk CLI可以用

• 要测试包含 OpenSSL 等开源包或可传递使用 OpenSSL 的包的代码项目，请运行 snyk test 直接在 CLI 中查看结果，或运行 snyk monitor 在 Snyk Web UI 中查看结果。

  • 如果您使用 C/C++ 并想检查 OpenSSL 是否包含在不使用包管理器（非托管）的项目中，请在运行 snyk test 时添加 --unmanaged 选项。请。

• 测试容器映像时，运行 snyk container test 直接在 CLI 中查看结果，或运行 snyk container monitor 将结果发送到 Snyk 的 Web UI。

  • Docker Desktop 用户也可以运行docker scan 来测试容器镜像。如果您想查看容器内包的简洁输出，请使用--dependency-tree 开关。

• 对于上述任何类型的test，如果您希望CLI 显示依赖项列表，请添加--print-deps 选项。使用 monitor 命令时，Snyk 的 Web UI 会自动报告依赖关系。

• 如果您是 Linux 用户，您只需在终端中运行 openssl version 命令即可检查您使用的 OpenSSL 版本。

如何处理新的 OpenSSL 漏洞

1. 将 2022 年 11 月 1 日星期二的漏洞公告和安全发布通知您的团队成员。意识到这一点和计划的发布是最好的准备方式。

2. 确保您的应用程序和基础设施使用 OpenSSL 3.0 或更高版本。

3. 如果您的 OpenSSL 安装存在漏洞，请为 2022 年 11 月 1 日星期二的更新做好准备。

   斯尼克如果您用于检测和修复漏洞，这些漏洞将在 Snyk 漏洞数据库中注册，并在 2022 年 11 月 1 日您扫描项目并检测到漏洞时发布详细信息。当修复可用时，系统还会提示您更新 Snyk 已知的易受攻击的版本。

   冷静下来处理它！

   找到一个严重的漏洞是有压力的，但让我们冷静地处理它。 OpenSSL 项目负责任地解决了安全事件并提供了及时的修复长期记录有。

   斯尼克如果您还没有使用像 之类的反漏洞工具，那么现在可能是尝试它的好时机。它会在发生此类事件时通知您，并且您可以在安全修复程序可用时部署它们。

   虽然不可能解决所有问题，但了解关键问题并快速更新它们是降低风险和避免安全事件的合理策略。

   更多信息

   此信息对未来的漏洞对策很有用。

   • Snyk 咨询
   • 码头工人 DSA 2022-0001：这是针对已发布 CVE 的临时建议，但提供了受影响软件包和公共容器映像的列表。
   • SANS 互联网风暴中心：受影响的 Linux 发行版列表
   • DistroWatch：受影响的 Linux 发行版列表
   • Node.js 通知：Node.js 的安全公告，使用 Node v18.x 和 v19.x OpenSsl v3。

原创声明：本文系作者授权爱码网发表，未经许可，不得转载;

原文地址：https://www.likecs.com/show-308632290.html