6月21日釋出的OpenSSL 3.0.4雖然解決了一個指令注入漏洞,不料卻引發新的遠端程式碼執行漏洞,OpenSSL維護組織在7月5日終於釋出3.0.5新版予以修補。
OpenSSL維護組織本周釋出最新版3.0.5,以解決近日一項更新造成的遠端程式碼執行(remote code execution, RCE)漏洞。
6月21日釋出的OpenSSL 3.0.4是為了解決一個指令注入漏洞CVE-2022-2068,不料卻引發新漏洞。研究人員Guido Vranken及Xi Ruoyao 6月中發現位於OpenSSL加密演算法之中,可被攻擊者輕易觸發造成記憶體毁損,屬堆積緩衝溢位漏洞。OpenSSL本周終於發出安全公告,並以CVE-2022-2274為名追蹤。
根據OpenSSL說明,3.0.4版造成RSA 2048-bit私有金鑰的實作錯誤,影響支援AVX512IFMA指令的X86_64 CPU,會在搭載這些CPU的機器上引發記憶體毁損。記憶體毁損的結果可使攻擊者在這些機器上遠端執行程式碼。
美國NIST漏洞資料庫未給予CVE-2022-2274漏洞風險值,但Red Hat將之定為8.1。
所有使用支援AVX512IFMA指令的X86_64 CPU,且執行2048-bit RSA私有金鑰的SSL/TLS(或其他)伺服器會受到CVE-2022-2274漏洞影響。早前的OpenSSL 1.1.1及1.0.2則不受漏洞影響。
上周研究人員Xi Ruoyao已經先提供了漏洞修補程式,但是OpenSSL更新版尚未釋出,一些用戶被迫先移除有風險的3.0.4版,而曝露於舊漏洞風險之中。OpenSSL維護單位呼籲OpenSSL 3.0.4用戶應儘速更新到3.0.5版本。
OpenSSL 3.0.5可經由HTTPS及FTP(ftp://ftp.openssl.org/source/)下載修補程式,也提供FTP鏡射站點下載。
網頁設計.RWD響應式網站.企業形象網站 / 電子科技類
網站技術:PHP . Javascript/MySql
展達為群光集團子公司,並提供互連網、AI人工智慧及多媒體等多種通信網絡相關服務。
網頁設計.RWD響應式網站.企業形象網站 / 電子工業類
網站技術:PHP/MySql
精選專案.網頁設計.RWD響應式網站.企業形象網站.無障礙網頁 / 其他類
網站技術:PHP . Javascript/MySql
對於無障礙朋友來說,先天的缺陷不能阻止自己對藝術的熱情。伊甸看到這些藝術家的實力,要將這些精采的作品對外發表。不僅僅是在國內甚至推廣到國外展現台灣的軟實力,此平台正是這些藝術家展現實力的舞台。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策