OpenSSL 项目透露了一对漏洞的细节，并降低了其严重性 媒体

OpenSSL 发布补丁修复高危漏洞，并调整严重性评级

关键要点

OpenSSL 项目在周二发布的补丁修复了两个高危安全漏洞，这些漏洞可能使攻击者有能力进行远程代码执行，甚至导致网络瘫痪。原本该漏洞被提前披露为“关键”，但随着最新版本 307 的发布，最后被降级为“高危”。OpenSSL 在周二做出了降级决定，但仍然强调这些漏洞分别跟踪为 CVE20223602 和 CVE20223786是重大问题，建议用户尽快升级系统。

OpenSSL 项目表示：“我们的安全政策指出，如果在常见情形下，远程代码执行被认为是可能的，那么该漏洞可能会被描述为‘关键’。我们不再认为此评级适用于 CVE20223602，因此在 2022 年 11 月 1 日降级为‘高危’。”

Cisco Talos 的研究人员指出，由于 OpenSSL 的广泛使用，以及一些主要 Linux 发行版中包含的易受攻击的版本，因此这些漏洞可能具有影响力。然而，值得注意的是，这些问题仅适用于 30 版及以上，而该版本在 2021 年 9 月发布，相较于较旧版本如 111 和 102，并没有那么普遍。

在补丁发布之前，安全社区对于这一漏洞感到恐慌，担心可能再现心脏出血漏洞，这是 OpenSSL 加密软件库中最致命的漏洞之一，允许攻击者窃听通讯并直接盗取服务中的数据。Rezilion 的漏洞研究主任 Yotam Perkal 向 SC Media 表示，CVE20223602 远不如心脏出血漏洞普遍。

“目前，全球公开访问的服务器中，约有 16000 台运行着可能存在漏洞的 OpenSSL 3X 版本，而大约 238000 台服务器仍然容易受心脏出血漏洞影响，该漏洞早在八年前就已被披露，”Perkal 指出。

有些研究人员在 Twitter 上表示，OpenSSL 对威胁的宣传过于夸大，而 Sonatype 的联合创始人兼首席技术官 Brian Fox 则认为，OpenSSL 事先公告漏洞的决定是正确的。他表示：“一些人可能会感到失望，因为它没有他们想象的那么严重。但我认为这是成功的一个证明，反之则是大家在仓促中毫无准备。”Fox 还提到，最近的报告显示，越是广泛宣传的漏洞，公众响应越快。

相对而言，Tenable 的高级研究工程师 Claire Tills 对在调查完成前就披露漏洞表示担忧，警告这可能在 OpenSSL 正式公告问题之前，对防御者的资源造成不必要的压力。Tills 表示：“话虽如此，这是一个机会，供组织评估他们的响应流程，理解可以改进的地方。组织应该反思以下几个问题：判断其部署的 OpenSSL 版本或其依赖的软件是否易受攻击有多困难？它们的沟通渠道是否足够成熟，能够及时将正确的信息传递给需要的人？”