針對OpenSSL 3.0.7版本修補的兩個高風險漏洞,C/C++函式庫管理工具Vcpkg上已經提供修補程式,用戶可以根據使用OpenSSL的方式更新至新版本。
文/李建興 | 2022-11-04發表
在11月的第一天,OpenSSL就釋出3.0.7版本,修補兩個具有高風險的漏洞,而熱門的C/C++函式庫管理工具Vcpkg上也已經有修補程式,因此有使用Vcpkg的開發者,當應用程式中包含3.0.0到3.0.6各版本OpenSSL,也可透過Vcpkg進行修補。
OpenSSL這兩個漏洞分別是具有重大風險的CVE-2022-3602漏洞,以及高度風險的CVE-2022-3786漏洞。CVE-2022-3602可能讓攻擊者執行遠端程式攻擊,而CVE-2022-3786雖不會引發遠端程式攻擊,卻足以造成服務阻斷,因此微軟敦促開發者盡快升級。
微軟提醒,即便開發者的專案沒有直接使用OpenSSL,但是OpenSSL仍可能是應用程式相依關係中的一部分,這是因為相依項目可能會遞移相依於OpenSSL,因此Vcpkg就會自動安裝OpenSSL,像是Azure C++ SDK便會遞移相依OpenSSL,因此用戶也應該驗證系統上OpenSSL的版本。
無論Vcpkg使用者是以命令列安裝函式庫,還是Vcpkg.json清單在建置期間安裝相依項目,微軟建議,開發者可以先以指令列出所有OpenSSL函式庫版本,檢視需要更新的部分。
當開發者的Vcpkg相依項目不使用Vcpkg.json清單,則表示是使用典型的命令列模式,用戶可以選擇一次升級所有相依項目,而透過將Vcpkg git repo本地副本更新到最新版本是最快的解法,但用戶也可以選擇只更新OpenSSL,不更新其他內容。
對於透過清單安裝OpenSSL的用戶,就只需要更新Vcpkg.json檔案就可以配置不同的OpenSSL版本,官方提到,建議不要一次更新一個,而是一次更新所有開源相依項目,這樣才能避免衝突,防止相依關係出現菱形相依的問題。
線