本周OpenSSL基金会预告即将发布OpenSSL 3.0.7版,以修补一个重大漏洞,也是2016年以来首个重大安全漏洞。
OpenSSL 3.0.7预定在世界协调时间11月1日13:00到17:00之间发布。这个版本为一安全修补更新,解决的漏洞中,包含一项风险值为最高的漏洞。
OpenSSL要到11日1日当天才公布重大漏洞编号及其他细节,但根据安全专家及安全媒体推测,漏洞似乎只影响3.0到3.0.6版。但根据OpenSSL自己的统计,大部分用户似乎还停留在1.x版。虽然不受这次修补的重大漏洞影响,但除了1.1.1版还具备长期支持(Long-Time Support)资格外,之前版本都已不再享有技术支持,包括安全更新。OpenSSL 1.1.1更新也将在11月1日同步发布。
根据安全媒体《SecurityWeek》报道,这是自2016年以来,OpenSSL第一次重大漏洞,也是自2014年OpenSSL因Heartbleed后,开始为漏洞套用风险值以来第二次重大漏洞。由于OpenSSL使用普及,使得当年4月披露会泄露内存资讯的Heartbleed漏洞影响全球企业及系统,被称为史上最严重网络安全瑕疵。