即将到来的“关键”OpenSSL更新引发了狂热的猜测

OpenSSL加密库的开发人员已经采取了不同寻常的步骤,即下周二(11月1日)发布的更新将修复一个严重漏洞。迫在眉睫的OpenSSL 3.x补丁是该项目第二次解决归类为“严重”的缺陷。之前唯一一次如此严重的OpenSSL更新解决了臭名昭著的Heartbleed漏洞(CVE-2014-0160)。Heartbleed是一个内存处理漏洞,它为攻击者从易受攻击的服务器访问密钥、密码和敏感个人信息打开了大门。八年前发现该漏洞时,Netcraft的专家估计该漏洞影响了17%的SSL Web服务器或“50万个广泛信任的网站”。对即将到来的关键修复(OpenSSL 3.0.7)知之甚少,除了它仅限于OpenSSL版本3.0,该软件的最新版本线,并且不影响以前的版本。

OpenSSL 3.0.x仅在2021年首次亮相,下周的公告将揭示一个可能限制问题程度的因素。OpenSSL自1998年以来一直存在,今天的大多数系统仍然使用早期版本线构建。

尚未发布即将发布的补丁或其解决的关键缺陷的详细信息。在没有任何硬信息的情况下,infosec Twitter已经超速运转,有人猜测该漏洞可能代表“下一个心脏出血”。

例如,谷歌的一位安全专家根据最近的软件提交和OpenSSL团队的一篇博客文章建议,该更新可能与拒绝服务(DoS)问题有关。

这个特殊的DoS漏洞——称为DHEat,之前已确认会影响OpenVPN和SSH服务——涉及强制执行Diffie-Hellman密钥交换。

DHEat(AKA CVE-2002-20001)在CVSS 3.1指数上的得分为7.5,表明严重性较高,但略低于临界值。

从表面上看,DHEat的OpenSSL补丁似乎不适合作为关键补丁,除非OpenSSL特别容易受到攻击。最近一篇引用DHEat的OpenSSL博客文章使得迫在眉睫的补丁更不可能解决这个问题。

根据询问的专家称,似乎更有可能是以前未知的漏洞在起作用。

Sonatype的首席技术官Brian Fox告诉我们,组织应该审核他们的代码库是否暴露于OpenSSL 3.0.x中的任何漏洞,让他们准备好在下周修补或隔离易受攻击的系统。

“首先,找出使用3.x的位置至关重要,”Fox说。“更重要的是,确保工具到位以避免每次都必须手动审核和识别组件至关重要。”

Fox 继续争辩说,关于即将到来的修复内容的猜测充其量是“无益的”。他说:“推测假设修复程序可以在公开可见的来源中获得,并且提前通知让攻击者有时间找到它。这个假设可能不正确。出于这个确切原因,有时最好在公告发布之前禁止实际更改。

“OpenSSL的团队由一些处理高调开源漏洞披露的最重要的专家组成,如果他们确定这是最好的行动方案——提前通知——那么我对这个决定有信心。”

萨里大学的计算机科学家艾伦伍德沃德教授推断,这个问题不太可能与较早的漏洞有关。

“如果按照他们自己的定义,OpenSSL漏洞真的很关键,那么这听起来很可怕,”伍德沃德教授说。“如果是更老的漏洞,我担心他们可能会喊狼来了。提供这么少的信息无济于事,但因为它是一个小团队,我明白为什么。”

伍德沃德教授总结道:“我想我们都得等到下周了。”

发表评论

评论已关闭。

相关文章