隱私權聲明
本公司關心使用者隱私權與個人資訊,並遵守本公司的網站隱私政策,使用者若有任何問題,可以參考本公司的「網站隱私政策」,或利用電子郵件或連絡電話詢問本公司.
2022
11
10

微軟針對Vcpkg用戶釋出OpenSSL高風險漏洞修復指引[轉載自IThome]

關鍵字:網頁設計程式設計專案開發資訊安全網頁設計作品

針對OpenSSL 3.0.7版本修補的兩個高風險漏洞,C/C++函式庫管理工具Vcpkg上已經提供修補程式,用戶可以根據使用OpenSSL的方式更新至新版本。
 

文/李建興 | 2022-11-04發表

在11月的第一天,OpenSSL就釋出3.0.7版本,修補兩個具有高風險的漏洞,而熱門的C/C++函式庫管理工具Vcpkg上也已經有修補程式,因此有使用Vcpkg的開發者,當應用程式中包含3.0.0到3.0.6各版本OpenSSL,也可透過Vcpkg進行修補。

OpenSSL這兩個漏洞分別是具有重大風險的CVE-2022-3602漏洞,以及高度風險的CVE-2022-3786漏洞。CVE-2022-3602可能讓攻擊者執行遠端程式攻擊,而CVE-2022-3786雖不會引發遠端程式攻擊,卻足以造成服務阻斷,因此微軟敦促開發者盡快升級。

微軟提醒,即便開發者的專案沒有直接使用OpenSSL,但是OpenSSL仍可能是應用程式相依關係中的一部分,這是因為相依項目可能會遞移相依於OpenSSL,因此Vcpkg就會自動安裝OpenSSL,像是Azure C++ SDK便會遞移相依OpenSSL,因此用戶也應該驗證系統上OpenSSL的版本。

無論Vcpkg使用者是以命令列安裝函式庫,還是Vcpkg.json清單在建置期間安裝相依項目,微軟建議,開發者可以先以指令列出所有OpenSSL函式庫版本,檢視需要更新的部分。

當開發者的Vcpkg相依項目不使用Vcpkg.json清單,則表示是使用典型的命令列模式,用戶可以選擇一次升級所有相依項目,而透過將Vcpkg git repo本地副本更新到最新版本是最快的解法,但用戶也可以選擇只更新OpenSSL,不更新其他內容。

對於透過清單安裝OpenSSL的用戶,就只需要更新Vcpkg.json檔案就可以配置不同的OpenSSL版本,官方提到,建議不要一次更新一個,而是一次更新所有開源相依項目,這樣才能避免衝突,防止相依關係出現菱形相依的問題。

你可能有興趣的作品案例
傑立資訊傑立資訊事業有限公司
Powered by AWS Cloud Computing

電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map

© 2019 傑立資訊 All rights reserved.| 網站隱私政策

線上詢價