2022
07
15

OpenSSL 3.0.4漏洞可引發RCE,更新版已釋出[轉載自IThome]

關鍵字:資訊安全

6月21日釋出的OpenSSL 3.0.4雖然解決了一個指令注入漏洞,不料卻引發新的遠端程式碼執行漏洞,OpenSSL維護組織在7月5日終於釋出3.0.5新版予以修補。

OpenSSL維護組織本周釋出最新版3.0.5,以解決近日一項更新造成的遠端程式碼執行(remote code execution, RCE)漏洞。

6月21日釋出的OpenSSL 3.0.4是為了解決一個指令注入漏洞CVE-2022-2068,不料卻引發新漏洞。研究人員Guido Vranken及Xi Ruoyao 6月中發現位於OpenSSL加密演算法之中,可被攻擊者輕易觸發造成記憶體毁損,屬堆積緩衝溢位漏洞。OpenSSL本周終於發出安全公告,並以CVE-2022-2274為名追蹤。

根據OpenSSL說明,3.0.4版造成RSA 2048-bit私有金鑰的實作錯誤,影響支援AVX512IFMA指令的X86_64 CPU,會在搭載這些CPU的機器上引發記憶體毁損。記憶體毁損的結果可使攻擊者在這些機器上遠端執行程式碼。

美國NIST漏洞資料庫未給予CVE-2022-2274漏洞風險值,但Red Hat將之定為8.1

所有使用支援AVX512IFMA指令的X86_64 CPU,且執行2048-bit RSA私有金鑰的SSL/TLS(或其他)伺服器會受到CVE-2022-2274漏洞影響。早前的OpenSSL 1.1.1及1.0.2則不受漏洞影響。

上周研究人員Xi Ruoyao已經先提供了漏洞修補程式,但是OpenSSL更新版尚未釋出,一些用戶被迫先移除有風險的3.0.4版,而曝露於舊漏洞風險之中。OpenSSL維護單位呼籲OpenSSL 3.0.4用戶應儘速更新到3.0.5版本。

OpenSSL 3.0.5可經由HTTPS及FTP(ftp://ftp.openssl.org/source/)下載修補程式,也提供FTP鏡射站點下載。

傑立資訊傑立資訊事業有限公司
Powered by AWS Cloud Computing

電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map

© 2019 傑立資訊 All rights reserved.| 網站隱私政策