ste*_*eve 4 sql-server ssl vulnerability-assessment
我正在尝试确定 SQL Server 是否受到最近发现的 OpenSSL 漏洞的影响。例如,使用 TLS/证书加密客户端和服务器之间的连接的 SQL Server 是否会受到影响?我相信 SQL Server 使用 Open SSL 库来进行加密。有人可以解释一下吗?
SQL Server 在 Windows 上不使用 OpenSSL。如果您使用的是 Linux,请继续阅读。
请务必注意,OpenSSL 不是 SSL。OpenSSL 是一种特定的、流行的、开源的 SSL 实现。
如果您使用第 3 方驱动程序或扩展或应用程序,他们可能会使用 OpenSSL 产品,但不能使用 SQL Server。
OpenSSL 3.0 及更新版本根据Apache License v2获得许可,这要求使用 OpenSSL 的衍生作品包含该许可证的归属和副本,这应该可以更轻松地识别使用 OpenSSL 3.0 的作品。
另请注意,OpenSSL 3.0 于 2021 年 9 月 7 日发布。该版本的最新发布有助于限制最早自该日期以来发布的使用易受攻击版本的衍生作品。
Linux 上的 SQL Server 将使用操作系统默认版本。不过,您可以将 Linux 上的 SQL Server 配置为使用特定版本的 OpenSSL。
如果您在 Linux 上运行 SQL Server,则可以通过两种方式缓解此漏洞。