針對OpenSSL 3.0.7版本修補的兩個高風險漏洞,C/C++函式庫管理工具Vcpkg上已經提供修補程式,用戶可以根據使用OpenSSL的方式更新至新版本。
文/李建興 | 2022-11-04發表
在11月的第一天,OpenSSL就釋出3.0.7版本,修補兩個具有高風險的漏洞,而熱門的C/C++函式庫管理工具Vcpkg上也已經有修補程式,因此有使用Vcpkg的開發者,當應用程式中包含3.0.0到3.0.6各版本OpenSSL,也可透過Vcpkg進行修補。
OpenSSL這兩個漏洞分別是具有重大風險的CVE-2022-3602漏洞,以及高度風險的CVE-2022-3786漏洞。CVE-2022-3602可能讓攻擊者執行遠端程式攻擊,而CVE-2022-3786雖不會引發遠端程式攻擊,卻足以造成服務阻斷,因此微軟敦促開發者盡快升級。
微軟提醒,即便開發者的專案沒有直接使用OpenSSL,但是OpenSSL仍可能是應用程式相依關係中的一部分,這是因為相依項目可能會遞移相依於OpenSSL,因此Vcpkg就會自動安裝OpenSSL,像是Azure C++ SDK便會遞移相依OpenSSL,因此用戶也應該驗證系統上OpenSSL的版本。
無論Vcpkg使用者是以命令列安裝函式庫,還是Vcpkg.json清單在建置期間安裝相依項目,微軟建議,開發者可以先以指令列出所有OpenSSL函式庫版本,檢視需要更新的部分。
當開發者的Vcpkg相依項目不使用Vcpkg.json清單,則表示是使用典型的命令列模式,用戶可以選擇一次升級所有相依項目,而透過將Vcpkg git repo本地副本更新到最新版本是最快的解法,但用戶也可以選擇只更新OpenSSL,不更新其他內容。
對於透過清單安裝OpenSSL的用戶,就只需要更新Vcpkg.json檔案就可以配置不同的OpenSSL版本,官方提到,建議不要一次更新一個,而是一次更新所有開源相依項目,這樣才能避免衝突,防止相依關係出現菱形相依的問題。
網頁設計.RWD響應式網站.企業形象網站 / 電子科技類
網站技術:PHP . Javascript/MySql
網頁設計.RWD響應式網站 / 休閒餐飲類
網站技術:PHP . Javascript/MySql . ORACLE
定期至人事系統取回員工資訊(含職級、個人基本資料)
定期將e-Learning系統中的訓練時數回傳至「人事系統」進行薪資的計算。
系統中的訓練時數回傳至並進行薪資計算
網頁設計.企業形象網站 / 機械工業類
網站技術:PHP . Javascript/MySql
提供專業氣動打釘槍的研發與製造服務,並且有優良的產品品質。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策