OpenSSL 项目团队发布了一个“安全修复程序”（3.0.7 版），以解决 3.0 及更高版本中的一个高级严重漏洞。 OpenSSL 是一种常用的开源软件库，因此 OpenSSL 中的漏洞具有造成高破坏的可能性。 但是，3.0 版于 2021 年 9 月发布，因此只有使用最新 3.0 版及更高版本的用户才会受到影响。 使用旧版本的任何应用程序都不受此漏洞的影响。 通过我们的指南检查您使用的是哪个版本的 OpenSSL。 有关受此漏洞影响和不受此漏洞影响的软件的完整列表，请查看此处：https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software。

● OpenSSL建议组织尽快修补其OpenSSL 3.0及更高版本的实现

● 目前，还没有已知的现有漏洞

● 证书无需重新颁发或更换

● 由于该漏洞，对DigiCert没有已知影响

OpenSSL 最初将 CVE-2022-3602 标记为“严重”的最高严重性，OpenSSL 将其定义为“影响常见配置并且也可能被利用”的漏洞。 但它已被降级为“高”严重性，OpenSSL 将其定义为“风险低于关键，可能是由于影响不太常见的配置，或者不太可能被利用。” 但是，它仍应尽快升级。

有什么风险？

目前，OpenSSL 未发现此漏洞的任何现有利用。 根据 OpenSSL，“任何验证从不受信任来源接收的 X.509 证书的 OpenSSL 3.0 应用程序都应被视为易受攻击。 这包括 TLS 客户端和配置为使用 TLS 客户端身份验证的 TLS 服务器。” 无需更换 TLS/SSL 服务器证书。

我应该怎么办？

建议公司扫描其系统是否使用 OpenSSL 3.0 及更高版本，如果发现任何情况，应尽快升级到 3.0.7。 此外，如果您使用第三方应用程序，您应该与供应商核实，看看他们是否使用 OpenSSL 3.0 及更高版本，并要求他们在必要时也进行修补。 最后，任何新应用程序都应使用 OpenSSL 3.0.7。使用 OpenSSL 3.0 之前版本的应用程序不需要立即更新，但管理者应该知道，OpenSSL 1.1.1 将只支持到 2023 年 9 月 11 日。此外，OpenSSL 建议所有用户更新到最新版本。

本文由 聚力诚信 根据 Digicert 博客

OPENSSL RELEASES PATCH FOR HIGH-LEVEL VULNERABILITY IN VERSIONS 3.0 AND ABOVE编译整理，转载请注明出处。

厦门聚力诚信科技有限公司（BestCert.net）是网络安全领域的专业服务提供商，专注提供SSL证书，邮件安全证书，代码签名证书等国际、国密双算法的数字证书管理服务, 涵盖所有市场主流的SSL证书类型和品牌，从证书的申请，验证，安装，证书专家全程在线支持！公司同时为各行业客户提供电子签章，身份认证等电子认证服务解决方案。