OpenSSL はセキュリティ弾丸をかわす from zdnet.com
security summary
OpenSSL 1.1.1 および 1.0.2 のユーザーは心配する必要はありません。
ただし、メインのオペレーティング システムが OpenSSL 1.x を使用しているからといって、これらの問題を無視できるとは思わないでください。
しかし、OpenSSL が警告しているように、「OpenSSL はソース コードとして配布されているため、すべてのプラットフォームとコンパイラの組み合わせがスタック上のバッファをどのように配置したかを知る方法がないため、一部のプラットフォームではリモートでコードを実行できる可能性があります」
Linux ディストリビューターに問い合わせて、OpenSSL 3.0.7 パッチがシステムに対応していることを確認してください。
誰かがあなたを OpenSSL 2 に「アップグレード」させようとする場合、彼らはあなたを攻撃しています。
この問題にパッチを当てて放置する前に、Chainguard と Sigstore の創設者である Dan Lorenc は、OpenSSL の重大な脆弱性であることが判明したとしても、「これは 10 年間で 2 番目の脆弱性にすぎない」ということを思い出してほしいと言っています。
コメント