OpenSSL加密库的开发人员已经采取了不同寻常的步骤，即下周二（11月1日）发布的更新将修复一个严重漏洞。迫在眉睫的OpenSSL 3.x补丁是该项目第二次解决归类为“严重”的缺陷。之前唯一一次如此严重的OpenSSL更新解决了臭名昭著的Heartbleed漏洞(CVE-2014-0160)。Heartbleed是一个内存处理漏洞，它为攻击者从易受攻击的服务器访问密钥、密码和敏感个人信息打开了大门。八年前发现该漏洞时，Netcraft的专家估计该漏洞影响了17%的SSL Web服务器或“50万个广泛信任的网站”。对即将到来的关键修复（OpenSSL 3.0.7）知之甚少，除了它仅限于OpenSSL版本3.0，该软件的最新版本线，并且不影响以前的版本。

OpenSSL 3.0.x仅在2021年首次亮相，下周的公告将揭示一个可能限制问题程度的因素。OpenSSL自1998年以来一直存在，今天的大多数系统仍然使用早期版本线构建。

尚未发布即将发布的补丁或其解决的关键缺陷的详细信息。在没有任何硬信息的情况下，infosec Twitter已经超速运转，有人猜测该漏洞可能代表“下一个心脏出血”。

例如，谷歌的一位安全专家根据最近的软件提交和OpenSSL团队的一篇博客文章建议，该更新可能与拒绝服务(DoS)问题有关。

这个特殊的DoS漏洞——称为DHEat，之前已确认会影响OpenVPN和SSH服务——涉及强制执行Diffie-Hellman密钥交换。

DHEat(AKA CVE-2002-20001)在CVSS 3.1指数上的得分为7.5，表明严重性较高，但略低于临界值。

从表面上看，DHEat的OpenSSL补丁似乎不适合作为关键补丁，除非OpenSSL特别容易受到攻击。最近一篇引用DHEat的OpenSSL博客文章使得迫在眉睫的补丁更不可能解决这个问题。

根据询问的专家称，似乎更有可能是以前未知的漏洞在起作用。

Sonatype的首席技术官Brian Fox告诉我们，组织应该审核他们的代码库是否暴露于OpenSSL 3.0.x中的任何漏洞，让他们准备好在下周修补或隔离易受攻击的系统。

“首先，找出使用3.x的位置至关重要，”Fox说。“更重要的是，确保工具到位以避免每次都必须手动审核和识别组件至关重要。”

Fox 继续争辩说，关于即将到来的修复内容的猜测充其量是“无益的”。他说：“推测假设修复程序可以在公开可见的来源中获得，并且提前通知让攻击者有时间找到它。这个假设可能不正确。出于这个确切原因，有时最好在公告发布之前禁止实际更改。

“OpenSSL的团队由一些处理高调开源漏洞披露的最重要的专家组成，如果他们确定这是最好的行动方案——提前通知——那么我对这个决定有信心。”

萨里大学的计算机科学家艾伦伍德沃德教授推断，这个问题不太可能与较早的漏洞有关。

“如果按照他们自己的定义，OpenSSL漏洞真的很关键，那么这听起来很可怕，”伍德沃德教授说。“如果是更老的漏洞，我担心他们可能会喊狼来了。提供这么少的信息无济于事，但因为它是一个小团队，我明白为什么。”

伍德沃德教授总结道：“我想我们都得等到下周了。”