close
聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
OpenSSL是一款使用廣泛的加密庫,提供SSL 和 TLS 協議的開源實現,包括很多生成RSA密鑰和執行加密和解密的工具等。
安全公告指出,OpenSSL 3.0.4發布在支持 AVX512IFMA 指令的 X86_64 CPU的RSA實現中引入一個「嚴重漏洞」。該漏洞的編號為CVE-2022-2274,它使有2048個位的密鑰的RSA實現不正確,即在計算過程中會引發內存損壞。
OpenSSL 的維護人員指出,攻擊者可利用該內存損壞漏洞在機器執行計算時觸發RCE。研究員Xi Ruoyao在2022年6月22日將問題告知 OpenSSL 並開發了修複方案。
該漏洞影響使用2048位RSA私鑰的 SSL/TLS服務器或其它服務器,這些服務器在支持X86_64架構的AVX512IFMA指令的機器上運行。
安全公告指出,「在易受攻擊的機器上,OpenSSL測試失敗,應該在部署前知曉。」OpenSSL 3.0.4版本的用戶應當升級至OpenSSL 3.0.5、OpenSSL 1.1.1和OpenSSL 1.0.2版本。
https://portswigger.net/daily-swig/high-severity-openssl-bug-could-lead-to-remote-code-execution
題圖:Pexels
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
全站熱搜
留言列表