6月21日釋出的OpenSSL 3.0.4雖然解決了一個指令注入漏洞,不料卻引發新的遠端程式碼執行漏洞,OpenSSL維護組織在7月5日終於釋出3.0.5新版予以修補。
OpenSSL維護組織本周釋出最新版3.0.5,以解決近日一項更新造成的遠端程式碼執行(remote code execution, RCE)漏洞。
6月21日釋出的OpenSSL 3.0.4是為了解決一個指令注入漏洞CVE-2022-2068,不料卻引發新漏洞。研究人員Guido Vranken及Xi Ruoyao 6月中發現位於OpenSSL加密演算法之中,可被攻擊者輕易觸發造成記憶體毁損,屬堆積緩衝溢位漏洞。OpenSSL本周終於發出安全公告,並以CVE-2022-2274為名追蹤。
根據OpenSSL說明,3.0.4版造成RSA 2048-bit私有金鑰的實作錯誤,影響支援AVX512IFMA指令的X86_64 CPU,會在搭載這些CPU的機器上引發記憶體毁損。記憶體毁損的結果可使攻擊者在這些機器上遠端執行程式碼。
美國NIST漏洞資料庫未給予CVE-2022-2274漏洞風險值,但Red Hat將之定為8.1。
所有使用支援AVX512IFMA指令的X86_64 CPU,且執行2048-bit RSA私有金鑰的SSL/TLS(或其他)伺服器會受到CVE-2022-2274漏洞影響。早前的OpenSSL 1.1.1及1.0.2則不受漏洞影響。
上周研究人員Xi Ruoyao已經先提供了漏洞修補程式,但是OpenSSL更新版尚未釋出,一些用戶被迫先移除有風險的3.0.4版,而曝露於舊漏洞風險之中。OpenSSL維護單位呼籲OpenSSL 3.0.4用戶應儘速更新到3.0.5版本。
OpenSSL 3.0.5可經由HTTPS及FTP(ftp://ftp.openssl.org/source/)下載修補程式,也提供FTP鏡射站點下載。
線