其他
高危OpenSSL 漏洞可导致远程代码执行
编译:代码卫士
OpenSSL是一款使用广泛的加密库,提供SSL 和 TLS 协议的开源实现,包括很多生成RSA密钥和执行加密和解密的工具等。
安全公告指出,OpenSSL 3.0.4发布在支持 AVX512IFMA 指令的 X86_64 CPU的RSA实现中引入一个“严重漏洞”。该漏洞的编号为CVE-2022-2274,它使有2048个位的密钥的RSA实现不正确,即在计算过程中会引发内存损坏。
OpenSSL 的维护人员指出,攻击者可利用该内存损坏漏洞在机器执行计算时触发RCE。研究员Xi Ruoyao在2022年6月22日将问题告知 OpenSSL 并开发了修复方案。
该漏洞影响使用2048位RSA私钥的 SSL/TLS服务器或其它服务器,这些服务器在支持X86_64架构的AVX512IFMA指令的机器上运行。
安全公告指出,“在易受攻击的机器上,OpenSSL测试失败,应该在部署前知晓。”OpenSSL 3.0.4版本的用户应当升级至OpenSSL 3.0.5、OpenSSL 1.1.1和OpenSSL 1.0.2版本。
OpenSSL 修复高危的无限循环漏洞
OpenSSL 高危漏洞可被用于修改应用数据
速修复!OpenSSL 披露DoS 和证书验证高危漏洞,可导致服务器崩溃
“心脏出血”后,OpenSSL 起死回生靠什么?
OpenSSL将修复神秘的高危安全漏洞
https://portswigger.net/daily-swig/high-severity-openssl-bug-could-lead-to-remote-code-execution
题图:Pexels
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。