OpenSSL 高危漏洞可被用于修改应用数据
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞的编号为 CVE-2021-3711,是和 SM2 解密相关的缓冲区溢出漏洞。OpenSSL Project 在安全公告中指出,“向应用程序展示用于解密的 SM2 内容的恶意攻击者,使缓冲区溢出最多62字节的数据,修改缓冲区后持有的其它数据内容,很可能更改应用程序行为或导致应用程序崩溃。该缓冲区的位置虽然依赖于应用程序,但通常被分配了堆。”
OpenSSL Project 表示,攻击者能做出的更改取决于目标应用程序以及在溢出缓冲区后在堆中立即持有的数据类型。“研究员解释称,”想象下应用程序可能在内存中拥有的数据类型,再想象下如果攻击者能够更改会带来何种后果。“
该漏洞影响 OpenSSL 1.1.1 版本。
另外,OpenSSL 还修复了可被用于发动拒绝服务以及披露私密内存内容如密钥等的中危漏洞 (CVE-2021-3712)。该漏洞已在版本1.1.1j 和1.0.2za 中修复。
今年还发现了其它5个 OpenSSL 漏洞,其中两个为高危漏洞。2020年仅发现3个漏洞。
继2014年爆发“心脏出血“漏洞后,开源的 TLS 库的安全性大大提升,过去几年来仅发现了少量高危缺陷。
https://www.securityweek.com/openssl-vulnerability-can-be-exploited-change-application-data
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~