OpenSSL 漏洞更新与应对措施

重点摘要

• OpenSSL项目将于周二发布3.0.7版本，修复一项关键漏洞。
• 自2014年Heartbleed漏洞以来，这是OpenSSL第一次将缺陷分类为“关键”。
• 安全专家对此公告意见不一，既有担忧攻击者会借机利用漏洞，也有观点认为早期通知可以帮助企业更好地准备补丁管理。

OpenSSL维护着广泛使用的开源软件，为安全通信提供支持。该项目近日预先披露了一项关键漏洞，将于周二推出新的版本3.0.7来解决该问题。

虽然OpenSSL并未提供太多技术细节，但其团队在中提到，新的版本将在周二UTC时间13:00至17:00之间公布，修复影响3.0及以上版本的关键漏洞。

这一公告引起了广泛关注，因为这是OpenSSL自2014年Heartbleed漏洞以来首次将缺陷标记为“” 。这一决定在安全社区中引发了一些争议，部分人士质疑OpenSSL提前公布漏洞是否会给攻击者提供更多机会进行利用。

“[提前通知]确实将漏洞暴露在公众视野，给了它一种促销效应，尤其是涉及敏感的高知名度应用程序时，” Deep Instinct的网络研究经理AlexKozodoy在接受SC Media采访时表示。

Synopsys的首席安全战略师Tim Mackey补充说，攻击者可能会利用这个时间创建伪造的补丁。

“[伪造补丁]可能会污染专注于打补丁而忽视验证补丁完整性的组织软件供应链，”Mackey说。

相对而言，一些安全专家表示，提前公告可以让企业有更多时间为广泛的补丁管理做好准备。

“由于OpenSSL的广泛使用，提前通知更新需求应该比造成损害带来更多好处，” Checkmarx的应用安全研究团队负责人EugeneRojavski告诉SC Media。“所有主要供应商和库用户都应该为安装修补版本并发布自己的更新版本做好准备。”

OpenSSL是互联网关键基础设施的一部分，它保障着大多数通信和网络应用的安全，并在各种软件开发中广泛使用。因此，识别所有设备中易受攻击版本并进行适当更新非常具有挑战性。

由于私营和公共部门缺乏广泛的IT资产清单管理，许多组织可能对依赖于易受攻击版本的情况一无所知。多个安全研究人员已经开始在GitHub上已知受影响或未受影响的供应商和产品的共同清单。

“组织往往不清楚其硬件使用哪些组件，因为制造商经常将这类信息保密，因此最大的风险在于不知道你的路由器、半导体及其他硬件是否使用了易受攻击的版本，”
Sonatype的首席技术官Brian Fox在一封邮件中指出。

在周二之前，尚不清楚这次威胁所造成的影响是否会像Heartbleed或那样严重，但是常用的1.1.1版本及之前的每一个版本都不会受到影响，这意味着只有使用更新版本的系统和资产才面临风险。

“鉴于运行OpenSSL3.0.x的系统数量较少，我们不太可能看到影响达到之前广泛利用事件（如Log4J、BlueKeep、ProxyLogon等）的程度，”在一篇中，安全研究员MarcusHutchins表示，他因暂时关闭全球WannaCry勒索病毒攻击而出名。”基于HTTP头部的简单扫描仅检测到大约6000台呈现易受攻击的OpenSSL版本的网络服务器。”

尽管如此，鉴于OpenSSL的流行和重要性，专家警告组织应继续监控威胁并保持警惕。

“短期