修复程序可用,立即更新
OpenSSL的高度严重性漏洞可以使恶意演员在服务器端设备上实现远程代码执行(RCE)。
OpenSSL是一个广泛使用的加密库,提供了一个开源实现安全套接字层(SSL)和传输层安全性(TLS)协议。
它包括用于生成RSA私钥和执行的工具加密和解密等任务。
内存腐败
OPENSL 3.0.4版本在RSA实现中引入了一个“严重错误”,用于X86_64 CPU,支持AVX512IFMA指令,咨询说明。
这个问题(CVE-2022-2274)使RSA实现具有2048位私钥不正确,这意味着记忆损坏将在计算过程中发生。
由于记忆损坏,攻击者可能能够触发RCEOpenSSL维护者说,在执行计算的机器上。
Xi Ruoyao于2022年6月22日向OpenSSL报告了此问题,后者还开发了修复程序。
SSL/TLS服务器或其他服务器使用在支持X86_64架构的AVX512IFMA指令的机器上运行的2048位RSA私钥受到此问题的影响。
“在脆弱的机器上,对OpenSSL的适当测试将失败,在部署前应注意。”
OpenSSL 3.0.4版本的用户应升级到OpenSSL 3.0.5。OpenSSL 1.1.1和1.0.2不受此问题的影响。
