
6月21日釋出的OpenSSL 3.0.4雖然解決了一個指令注入漏洞,不料卻引發新的遠端程式碼執行漏洞,OpenSSL維護組織在7月5日終於釋出3.0.5新版予以修補。
OpenSSL維護組織本周釋出最新版3.0.5,以解決近日一項更新造成的遠端程式碼執行(remote code execution, RCE)漏洞。
6月21日釋出的OpenSSL 3.0.4是為了解決一個指令注入漏洞CVE-2022-2068,不料卻引發新漏洞。研究人員Guido Vranken及Xi Ruoyao 6月中發現位於OpenSSL加密演算法之中,可被攻擊者輕易觸發造成記憶體毁損,屬堆積緩衝溢位漏洞。OpenSSL本周終於發出安全公告,並以CVE-2022-2274為名追蹤。
根據OpenSSL說明,3.0.4版造成RSA 2048-bit私有金鑰的實作錯誤,影響支援AVX512IFMA指令的X86_64 CPU,會在搭載這些CPU的機器上引發記憶體毁損。記憶體毁損的結果可使攻擊者在這些機器上遠端執行程式碼。
美國NIST漏洞資料庫未給予CVE-2022-2274漏洞風險值,但Red Hat將之定為8.1。
所有使用支援AVX512IFMA指令的X86_64 CPU,且執行2048-bit RSA私有金鑰的SSL/TLS(或其他)伺服器會受到CVE-2022-2274漏洞影響。早前的OpenSSL 1.1.1及1.0.2則不受漏洞影響。
上周研究人員Xi Ruoyao已經先提供了漏洞修補程式,但是OpenSSL更新版尚未釋出,一些用戶被迫先移除有風險的3.0.4版,而曝露於舊漏洞風險之中。OpenSSL維護單位呼籲OpenSSL 3.0.4用戶應儘速更新到3.0.5版本。
OpenSSL 3.0.5可經由HTTPS及FTP(ftp://ftp.openssl.org/source/)下載修補程式,也提供FTP鏡射站點下載。
精選專案.活動網站 / 服務類
網站技術:PHP/MySql
把最高品質的服務呈現給優質的客戶,盡心盡力滿足每一位客戶的需求。 奧斯禮提供多元服務,從餐廳訂位到門票代購,甚至是規劃個人服務也是沒有問題,只為了可以讓客戶收穫美好體驗。
精選專案.網頁設計.RWD響應式網站.企業形象網站 / 電子工業類
網站技術:PHP . Javascript/MySql
RWD響應式網站設計/網頁設計,網頁切版,後台程式管理
精選專案.網頁設計.活動網站 / 製造類
網站技術:PHP/MySql
賽車服客製化服務,消費者可將自己喜愛的圖案、LOGO印製在賽車相關商品上。 網站上從選擇產品類型到印製完成,都有詳細說明操作辦法,協助消費者完成自己的客製化賽車商品。
傑立資訊事業有限公司電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策