OpenSSL维护组织本周发布最新版3.0.5,以解决近日一项更新造成的远程程序代码执行(remote code execution,RCE)漏洞。
6月21日发布的OpenSSL 3.0.4是为了解决一个指令注入漏洞CVE-2022-2068,不料却引发新漏洞。研究人员Guido Vranken及Xi Ruoyao 6月中发现位于OpenSSL加密算法之中,可被攻击者轻易触发造成内存毁损,属堆积缓冲溢出漏洞。OpenSSL本周终于发出安全公告,并以CVE-2022-2068为名关注。
根据OpenSSL说明,3.0.4版造成RSA 2048-bit私有密钥的实例错误,影响支持AVX512IFMA指令的X86_64 CPU,会在搭载这些CPU的机器上引发内存毁损。内存毁损的结果可使攻击者在这些机器上远程执行程序代码。
美国NIST漏洞数据库未给予CVE-2022-2274漏洞风险值,但Red Hat将之定为8.1。
所有使用支持AVX512IFMA指令的X86_64 CPU,且执行2048-bit RSA私有密钥的SSL/TLS(或其他)服务器会受到CVE-2022-2274漏洞影响。先前的OpenSSL 1.1.1及1.0.2则不受漏洞影响。
上周研究人员Xi Ruoyao已经先提供了漏洞修补程序,但是OpenSSL更新版尚未发布,一些用户被迫先移除有风险的3.0.4版,而暴露于旧漏洞风险之中。OpenSSL维护单位呼吁OpenSSL 3.0.4用户应尽快更新到3.0.5版本。
OpenSSL 3.0.5可经由HTTPS及FTP协议下载修补程序,也提供FTP镜射站点下载。