Estou tentando estabelecer se o SQL Server é afetado pelas vulnerabilidades OpenSSL descobertas recentemente. Por exemplo, os SQL Servers que estão usando TLS/Certificados para criptografar conexões entre cliente e servidor são afetados? Acredito que o SQL Server usa bibliotecas Open SSL para fins de criptografia. Alguém por favor pode dar uma luz sobre isso?
Não*.
SQL Server não usa OpenSSL no Windows. Se você estiver usando um Linux, continue lendo.
É importante notar que o OpenSSL não é SSL. OpenSSL é uma implementação específica, popular e de código aberto de SSL.
Se você estiver usando drivers, extensões ou aplicativos de terceiros, eles poderão usar o produto OpenSSL, mas não o SQL Server.
OpenSSL 3.0 e mais recentes são licenciados sob a Apache License v2 , que exige que trabalhos derivados usando OpenSSL incluam uma atribuição e cópia dessa licença, o que deve facilitar a identificação de trabalhos usando OpenSSL 3.0.
Observe também que o OpenSSL 3.0 foi lançado em 7 de setembro de 2021. A recência do lançamento ajuda a limitar os trabalhos derivados que usam as versões vulneráveis lançadas desde essa data, no mínimo.
*SQL Server no Linux
O SQL Server no Linux usará a versão padrão do sistema operacional. No entanto, você pode configurar o SQL Server no Linux para usar uma versão específica do OpenSSL.
Se você estiver executando o SQL Server no Linux, poderá mitigar essa vulnerabilidade de duas maneiras.