OpenSSL 补丁已经发布 - 严重错误已降级为 HIGH，但还是要打补丁！

我们将从重要的东西开始：上周宣布的备受期待的 OpenSSL 错误修复 出局.

OpenSSL 1.1.1 转到 版本 1.1.1s，并修补一个列出的与安全相关的错误，但此错误没有安全等级或官方 CVE 编号。

我们强烈建议您更新，但您将在网络安全媒体中看到的关键更新不适用于此版本。

OpenSSL 3.0 转到 3.0.7版，并且修补了不是一个而是两个 CVE 编号的安全漏洞，这些漏洞被官方指定为 HIGH 严重性。

我们强烈建议您尽可能紧急地进行更新，但是每个人都在谈论的 CRITICAL 修复现在已降级为 HIGH 严重性。

这反映了 OpenSSL 团队的意见：

的预告 CVE-2022-3602 将此问题描述为关键问题。 基于 [在发行说明中] 描述的一些缓解因素的进一步分析导致其被降级为 HIGH。 仍然鼓励用户尽快升级到新版本。

具有讽刺意味的是，第二个类似的错误被称为 CVE-2022-3786, 在准备 CVE-2022-3602 的修复程序时被发现。

最初的错误只允许攻击者破坏堆栈上的四个字节，这限制了漏洞的可利用性，而第二个错误允许无限量的堆栈溢出，但显然只有“点”字符（ASCII 46，或 0x2E ) 一遍又一遍地重复。

这两个漏洞都在 TLS 证书验证过程中暴露出来，其中一个陷阱客户端或服务器使用故意格式错误的 TLS 证书向另一端的服务器或客户端“识别”自己。

尽管这些类型的堆栈溢出（一种是有限的大小，另一种是有限的数据值）听起来好像很难利用它们来执行代码（尤其是在 64 位软件中，其中四个字节只是内存地址的一半） …

…几乎可以肯定，它们很容易被用于 DoS（拒绝服务）攻击，其中流氓证书的发送者可以随意使该证书的接收者崩溃。

幸运的是，大多数 TLS 交换都涉及客户端验证服务器证书，而不是相反。

例如，大多数 Web 服务器在允许访问者阅读网站之前不要求访问者使用证书标识自己，因此任何有效利用的“崩溃方向”都可能是流氓服务器崩溃倒霉的访问者，这通常被认为比每次被单个流氓访问者浏览时服务器崩溃的严重程度要低得多。

尽管如此，任何被黑客入侵的网络或电子邮件服务器可以无故使访问浏览器或电子邮件应用程序崩溃的技术都必须被认为是危险的，尤其是因为客户端软件重试连接的任何尝试都会导致应用程序一次又一次地崩溃再次。

因此，您肯定想要 尽快解决这个问题.

怎么办呢？

如上所述，您需要 OpenSSL 1.1.1s or OpenSSL 3.0.7 替换您目前拥有的任何版本。

OpenSSL 1.1.1s 获得描述为修复的安全补丁 “OpenSSL 1.1.1r 中引入的回归 [再次出现的旧错误] 在签署证书之前不刷新要签署的证书数据”，该错误没有分配给它的严重性或 CVE...

…但不要让这让你尽快更新。

OpenSSL 3.0.7 获得了上面列出的两个 CVE 编号的高严重性修复程序，即使它们现在听起来不像在此版本之前的新闻盛会上那样可怕，您应该假设：

• 许多攻击者会很快找出如何利用这些漏洞实现 DoS 目的。 这可能会导致工作流程中断，最坏的情况是网络安全问题，特别是如果该错误可被滥用以减慢或破坏 IT 生态系统中重要的自动化流程（如更新）。
• 一些攻击者可能能够解决这些漏洞以进行远程代码执行。 这将使犯罪分子有很好的机会使用陷阱网络服务器来破坏用于在您自己的业务中安全下载的客户端软件。
• 如果确实找到了概念验证 (PoC)，它将引起极大的兴趣。 正如您在 Log4Shell 中所记得的那样，PoC 发布后，成千上万自称为“研究人员”的人以“帮助”人们发现他们网络上的问题。

请注意，OpenSSL 1.0.2 仍受支持和更新，但仅限于与 OpenSSL 团队支付合同的客户，这就是为什么我们没有任何信息可以在这里披露，除了确认 CVE OpenSSL 3.0 中的编号错误不适用于 OpenSSL 1.0.2 系列。

您还可以 read more，并得到你的 OpenSSL 更新， 来自 OpenSSL 网站.

哦，如果 PoC 确实开始出现在网上，请不要成为一个聪明的木屐，并开始“尝试”这些 PoC 来对抗其他人的计算机，以为您正在“帮助”进行任何类型的“研究”。

---