“OpenSSL 0-Length”如何解决这个问题?
答案1
首先,找出该漏洞的 CVE 编号。快速谷歌搜索告诉我“OpenSSL 0-length”是 CVE-2019-1559,于今年 2 月发布。
任何企业级 Linux 发行版(或任何其他操作系统)都应该有一个按 CVE 编号列出的安全补丁/公告列表,或者通过某种其他方式来找出哪些安全补丁修复了特定 CVE 识别的漏洞。
还有供应商中立的漏洞数据库,例如例如这个。它们通常包含指向特定于供应商的安全公告的链接:找到适用于您的发行版的公告,您将获得以可维护的方式修复漏洞所需的确切信息。
漏洞数据库还包括漏洞性质的简短描述,如果您需要的话:在这种情况下,OpenSSL 对收到的加密流量中不同类型的错误做出不同的响应,如果攻击者可以检测到这种差异,则可以滥用它来解密在某些特定条件下加密数据。
从描述中,您可能猜测可能有两种方法来修复此漏洞:1.) 修补 OpenSSL 以对所有解密错误做出统一响应,或者 2.) 修补所有使用 OpenSSL 的应用程序以不泄露解密类型向可能的攻击者发送解密错误。两者显然都是可取的,但是 1)同时为许多应用程序提供了快速解决方案,因此它可能是主要的解决方案。
漏洞库还表明该漏洞存在于OpenSSL 1.0.2版本到1.0.2q版本之间。因此,您需要为您的操作系统安装更新,其中包括任何一个OpenSSL 1.0.2r 或更高版本,或者任何明确表示包含 CVE-2019-1559 向后移植修复程序的 OpenSSL 1.0.2 版本。