OpenSSL 发布补丁修复高危漏洞，并调整严重性评级

关键要点

• OpenSSL 项目发布补丁修复了两个高危安全漏洞，这些漏洞可能让攻击者进行远程代码执行并关闭网络。
• 最初被评为“关键”的漏洞，最终被降级为“高危”，并鼓励用户尽快升级系统。
• 相关研究指出，虽然这些漏洞是严重的，但是影响有限，因其只适用于较新的版本。

OpenSSL项目在周二发布的补丁修复了两个高危安全漏洞，这些漏洞可能使攻击者有能力进行远程代码执行，甚至导致网络瘫痪。原本该漏洞被，但随着最新版本 3.0.7 的发布，最后被降级为“高危”。OpenSSL 在周二做出了降级决定，但仍然强调这些漏洞（分别跟踪为
CVE-2022-3602 和 CVE-2022-3786）是重大问题，建议用户尽快升级系统。

OpenSSL 项目表示：“我们的安全政策指出，如果在常见情形下，远程代码执行被认为是可能的，那么该漏洞可能会被描述为‘关键’。我们不再认为此评级适用于
CVE-2022-3602，因此在 2022 年 11 月 1 日降级为‘高危’。”

Cisco Talos 的研究人员，由于 OpenSSL 的广泛使用，以及一些主要 Linux发行版中包含的易受攻击的版本，因此这些漏洞可能具有影响力。然而，值得注意的是，这些问题仅适用于 3.0 版及以上，而该版本在 2021 年 9月发布，相较于较旧版本（如 1.1.1 和 1.0.2），并没有那么普遍。

在补丁发布之前，安全社区对于这一漏洞感到恐慌，担心可能再现，这是 OpenSSL加密软件库中最致命的漏洞之一，允许攻击者窃听通讯并直接盗取服务中的数据。Rezilion 的漏洞研究主任 Yotam Perkal 向 SC Media表示，CVE-2022-3602 远不如心脏出血漏洞普遍。

“目前，全球公开访问的服务器中，约有 16,000 台运行着可能存在漏洞的 OpenSSL 3.X 版本，而大约 238,000
台服务器仍然容易受心脏出血漏洞影响，该漏洞早在八年前就已被披露，”Perkal 指出。

有些研究人员在 Twitter 上表示，OpenSSL 对威胁的宣传过于夸大，而 Sonatype 的联合创始人兼首席技术官 Brian Fox则认为，OpenSSL事先公告漏洞的决定是正确的。他表示：“一些人可能会感到失望，因为它没有他们想象的那么严重。但我认为这是成功的一个证明，反之则是大家在仓促中毫无准备。”Fox还提到，最近的报告显示，越是广泛宣传的漏洞，公众响应越快。

相对而言，Tenable 的高级研究工程师 Claire Tills 对在调查完成前就披露漏洞表示担忧，警告这可能在 OpenSSL正式公告问题之前，对防御者的资源造成不必要的压力。Tills表示：“话虽如此，这是一个机会，供组织评估他们的响应流程，理解可以改进的地方。组织应该反思以下几个问题：判断其部署的 OpenSSL版本或其依赖的软件是否易受攻击有多困难？它们的沟通渠道是否足够成熟，能够及时将正确的信息传递给需要的人？”