放大/最初列为“严重”的 OpenSSL 漏洞的后果应该比最后一个严重的 OpenSSL 漏洞 Heartbleed 的后果严重得多。
自互联网重塑 Heartbleed 漏洞刚刚修补以来,OpenSSL 漏洞曾被视为第一个关键级别的补丁。它最终作为缓冲区溢出的“高”安全修复程序出现,影响所有 OpenSSL 3.x 安装,但不太可能导致远程代码执行。
OpenSSL 3.0.7 版于上周宣布为重要的安全修复版本。直到今天,具体的漏洞(现在是CVE-2022-37786 和 CVE-2022-3602 )在很大程度上还是未知的,但网络安全领域的分析师和企业暗示可能存在明显的问题和维护问题。包括 Fedora 在内的一些 Linux 发行版在补丁可用之前一直推迟发布。分销巨头Akamai 在补丁之前指出,他们一半的监控网络至少有一台机器带有易受攻击的 OpenSSL 3.x 实例,在这些网络中,0.2% 到 33% 的机器易受攻击。
但是,特定漏洞——在有限情况下,通过大多数现代平台上的堆栈布局缓解的客户端溢出——现在已被修补,并被评为“高”。由于 OpenSSL 1.1.1 仍处于长期支持阶段,因此 OpenSSL 3.x 并没有那么普及。