steve Asked: 2022-11-08 19:30:53 +0800 CST2022-11-08 19:30:53 +0800 CST 2022-11-08 19:30:53 +0800 CST SQL Server 是否受 OpenSSL 3.0 漏洞影响:CVE 2022-3786 和 CVE 2022-3602 772 我正在尝试确定 SQL Server 是否受到最近发现的 OpenSSL 漏洞的影响。例如,使用 TLS/证书对客户端和服务器之间的连接进行加密的 SQL Server 是否受到影响?我相信 SQL Server 使用 Open SSL 库进行加密。有人可以解释一下吗? sql-server 1 个回答 Voted Best Answer AMtwo 2022-11-08T20:12:19+08:002022-11-08T20:12:19+08:00 不*。 SQL Server 在 Windows 上不使用 OpenSSL。如果您使用的是 Linux,请继续阅读。 请务必注意,OpenSSL 不是 SSL。OpenSSL 是一种特定的、流行的、开源的 SSL 实现。 如果您使用的是第 3 方驱动程序或扩展程序或应用程序,他们可能会使用 OpenSSL 产品,而不是 SQL Server。 OpenSSL 3.0 和更新版本是根据Apache License v2获得许可的,它要求使用 OpenSSL 的衍生作品包括该许可的归属和副本,这样可以更容易地识别使用 OpenSSL 3.0 的作品。 另请注意,OpenSSL 3.0 于 2021 年 9 月 7 日发布。发布的新近有助于限制使用易受攻击版本的衍生作品最早从该日期发布。 *Linux 上的 SQL Server Linux 上的 SQL Server 将使用操作系统的默认版本。但是,您可以将 Linux 上的 SQL Server 配置为使用特定版本的 OpenSSL。 如果您在 Linux 上运行 SQL Server,则可以通过两种方式缓解此漏洞。 确保操作系统默认值早于 3.0,或完全修补到最新版本。 将 SQL Server 配置为使用不易受攻击的特定版本的 OpenSSL。
不*。
SQL Server 在 Windows 上不使用 OpenSSL。如果您使用的是 Linux,请继续阅读。
请务必注意,OpenSSL 不是 SSL。OpenSSL 是一种特定的、流行的、开源的 SSL 实现。
如果您使用的是第 3 方驱动程序或扩展程序或应用程序,他们可能会使用 OpenSSL 产品,而不是 SQL Server。
OpenSSL 3.0 和更新版本是根据Apache License v2获得许可的,它要求使用 OpenSSL 的衍生作品包括该许可的归属和副本,这样可以更容易地识别使用 OpenSSL 3.0 的作品。
另请注意,OpenSSL 3.0 于 2021 年 9 月 7 日发布。发布的新近有助于限制使用易受攻击版本的衍生作品最早从该日期发布。
*Linux 上的 SQL Server
Linux 上的 SQL Server 将使用操作系统的默认版本。但是,您可以将 Linux 上的 SQL Server 配置为使用特定版本的 OpenSSL。
如果您在 Linux 上运行 SQL Server,则可以通过两种方式缓解此漏洞。