OpenEdge OECHE1 密码/密钥保护漏洞总结 漏洞概述 漏洞编号: 000298643 CVE编号: CVE-2025-8001 漏洞名称: Unintended Use of OECHE1 for Password/Secrets Protection 发布日期: 2025年4月14日 严重程度: 关键安全漏洞 问题描述: OpenEdge 使用的 OECHE1 编码算法存在严重弱点,该算法历史上用于混淆敏感配置值,但已被确定为加密弱且不可靠。攻击者可以轻易破解 OECHE1 编码的值,导致敏感数据(如密码、密钥)泄露。 影响范围 受影响版本: - OpenEdge 12.2.18 及更早版本 - OpenEdge 12.8.9 及更早版本 影响组件: - 所有 OpenEdge 版本(包括维护版本) - 所有平台管理(platform-managed)和客户管理(customer-managed)的 OECHE1 编码值 具体影响: - 管理员密码存储在配置或 .pff 文件中 - 数据库管理员密码用于引导 ABL 连接 - OpenEdge Management (OEM) 管理员凭证 - 域访问控制 (DAC) 用于 ABL 客户端和实用程序 - TLS/SSL 密钥库别名凭证 - OEAG 认证密钥和密码 - 编码密码或审计键(如 ABL 方法 ENCRYPT-AUDIT-MAC-KEY()) - 命令行实用程序(如 gpassword) 修复方案 紧急措施 1. 升级 OpenEdge: 升级到以下版本: - OpenEdge 12.2.19(修复 OpenEdge 12.2.18 及更早版本的问题) - OpenEdge 12.8.11(修复 OpenEdge 12.8.9 及更早版本的问题) 2. 迁移 OECHE1 编码值: - 所有客户管理的 OECHE1 编码值必须在生产部署前更改 - 使用更强的编码算法替换 OECHE1 编码值 - 迁移活动需仔细计划以确保业务连续性 迁移步骤 1. 识别: 识别所有客户管理的 OECHE1 编码值 2. 替换: 使用新编码替换受影响的凭证,使用更强的混淆算法 3. 验证: 验证配置文件和 .pff 文件以进行系统启动 4. 测试: 测试所有运行路径以确保不再检测到 OECHE1 升级 临时迁移支持 对于许多 OECHE1 用例,没有可能的降级而不影响 OpenEdge 更新 提供开发时间迁移选项,允许在开发环境中对现有 OECHE1 编码值进行增量修复 重要限制: - 现有 OECHE1 值可被解码,但新 OECHE1 值不能生成 - 没有对现有 OECHE1 编码值的支持 - 此模式强烈不鼓励在生产环境中使用 - 仅打算用于开发和迁移测试 注意事项 升级后,任何使用 OECHE1 编码的值将导致运行时错误并可能阻止 OpenEdge 组件运行 OECHE1 在运行时不再被允许 所有 OpenEdge 组件在遇到 OECHE1 编码值时将引发错误 必须确保所有平台管理和客户管理的 OECHE1 值都使用更强的编码算法进行替换 使用 OpenEdge (_USER) 管理的用户账户不受 OECHE1 影响