作者:Shachar Menashe

OpenSSL团队宣布OpenSSL 3.0.7将包含一个修复至关重要的影响OpenSSL 3.x的严重性漏洞。目前，除了受影响的版本和严重级别之外，没有关于该问题的详细信息。关于该漏洞和固定版本(3.0.7)的详细信息可以在下面找到博客．

JFrog平台是否受此问题影响?

由于JFrog平台没有使用OpenSSL 3.x，因此不容易受到此问题的影响。

谁可能会受到这个问题的影响?

OpenSSL团队确认只有OpenSSL 3。xversions are affected, specifically OpenSSL 3.0.0 – 3.0.7.
幸运的是3。xis a newer branch of OpenSSL, which was released approx. 1 year ago (Sep. 2021) and hasn’t been widely adopted yet.

使用OpenSSL 3的流行发行版。X是-

• Alpine Edge(开发分支)
• CentOS Stream 9(开发分支)
• Fedora 36
• 卡莉2022.3
• Linux Mint 21
• 红帽企业Linux 9
• Ubuntu 22.04

请注意，有一些流行的开源项目使用OpenSSL 3。例如Node.js 17及更高版本，而这已经宣布安全更新将于11月1日上线，不过这个问题对Node.js用户的具体影响目前还不清楚。

另外，已经证实LibreSSL不受此问题影响

除了受影响的OpenSSL版本之外，没有关于利用此漏洞的先决条件的进一步信息。

这个问题的影响是什么?

由于禁运至11月1日，这个问题的确切影响是未知的，除了它具有临界严重性的事实。

OpenSSL认为存在“严重”漏洞具有以下影响- - - - - -

因此，我们可以预期在常见场景中存在一个可被利用的漏洞，其影响类似于Heartbleed错误(机密泄露)或者更糟的——远程代码执行。

作为参考，唯一一个被OpenSSL维护者评为“关键”的漏洞是cve - 2016 - 6309．

面对这个问题，你能做些什么准备呢?

1. 使用JFrog x射hth华体会最新官方网站线扫描您的产品，以确定是否有任何产品使用OpenSSL 3。X(见下一节)
2. 如果发现易受攻击的OpenSSL版本，请执行以下其中一项操作-

如何使用JFrog x射线来检测这个问题?

JFrog可以通过正常的漏洞扫描检测到此漏洞，并使用以下XRAY id来引用此问题-

• Ubuntu - XRAY-260242
• 红帽- x射线-260216
• 高山- x射线-260241
• 非发行版专用- XRAY-260154

我怎样才能得到有关这个问题的最新资料?

与所有关键漏洞类似，我们将在细节出现时将我们的“JFrog Research”信息添加到Xray中，此外还有上下文分析器(如果适用的话)。
此外，我们计划发布一个技术博客一旦细节清楚了。
与往常一样，我们也将使用@JFrogSecurity推特账号来发布关于这个问题和其他安全漏洞的最新进展。

阅读更多在这里．