是新的神经还是出血的干扰?
OpenSSL的开发人员密码学图书馆采取了不寻常的预告步骤,即下周二(11月1日)将进行土地的更新将解决一个关键的漏洞。
迫在眉睫的OpenSL 3.X补丁仅代表项目第二次解决一个被归类为“关键”的缺陷。此类升高严重程度的唯一OPENSSL更新解决了臭名昭著的Heartble脆弱性(CVE-2014-0160)。
Heartbleed是一个记忆处理错误,为攻击者打开了访问脆弱服务器的秘密密钥,密码和敏感个人信息的大门。Netcraft的专家估计,在八年前的发现时,该缺陷影响了17%的SSL Web服务器或“beplay体育能用吗一百万信任的网站beplay体育能用吗”。
关于即将到来的关键修复(OpenSSL 3.0.7)知之甚少仅限于OpenSSL版本3.0,该软件的最新发行线,不影响以前的版本。
你也许也喜欢HypersQL数据库缺陷使库很容易受到RCE的影响
OpenSSL 3.0.X仅在2021年首次亮相,这可能会限制下周宣布的问题的程度。OpenSSL自1998年以来就一直存在,如今大多数系统仍使用较早的发行线构建。
未发布即将到来的补丁或铲球的关键缺陷的细节。在没有任何硬信息的情况下,Infosec Twitter已经超速驾驶,有些人猜测漏洞可能代表“下一个Heartbled”。
例如,一位来自Google的安全专家建议根据最近的软件提交和OpenSSL团队的博客文章,该更新可能与拒绝服务(DOS)有关。
感觉得很进来
这个特殊的DOS错误 - 称为DHET,上一个确认会影响OpenVPN和SSH服务 - 涉及强制执行Diffie-Hellman密钥交换。
DHEAT(又名CVE-2002-20001)在CVSS 3.1指数上得分7.5,表明严重程度很高,并且略有关键。
从表面上看,除非OpenSSL特别脆弱,否则为DHEAT的OpenSSL补丁似乎是一个关键补丁的候选者。一个最近的OpenSSL博客文章引用DHEAT使迫在眉睫的补丁更不可能解决此问题。
根据专家的询问,似乎以前未知的漏洞在起作用似乎更有可能每日swbeplay2018官网ig。
动作站
Sonatype的首席技术官Brian Fox告诉我们,组织应审核其代码基础,以接触OpenSSL 3.0.X中的任何漏洞,使他们准备下周补丁或隔离脆弱系统。
福克斯说:“首先,要找出3.x的位置至关重要。”“更重要的是,要避免每次手动进行审核和识别组件至关重要。”
福克斯继续争辩说,关于即将到来的修复内容的猜测充其量是“无助”。他说:“猜测假设该修复程序可在公开可见的来源中可用,预先通知使攻击者有时间找到它。这个假设可能不是正确的。在某些时候,由于这个确切的原因,在宣布之后,这是一种最好的做法。
“ OpenSSL的团队包括一些最重要的专家处理知名的开源脆弱性披露,如果他们确定这是最好的行动 - 提前通知 - 那么我对此决定有信心。”
萨里大学的计算机科学家艾伦·伍德沃德(Alan Woodward)教授认为,这个问题不太可能与较旧的脆弱性有关。
伍德沃德教授告诉每日swbeplay2018官网ig。“如果这是较旧的脆弱性,我担心他们可能哭了。提供如此少的信息并没有帮助,但是由于这是一支很小的团队,所以我明白了原因。”
伍德沃德教授总结说:“我想我们所有人都必须等到下周。”
