OpenSSL 近日發布更新,以解決OpenSSL的安全性弱點

風險等級: 高度威脅
摘要: 弱點通告:
OpenSSL 近日發布更新,以解決OpenSSL的安全性弱點,建議請管理者儘速評估更新!
影響系統:
  • OpenSSL 3.0.4 (含)之前的版本
  • OpenSSL 1.1.1 (含)之前的版本。
解決辦法: 請參考OpenSSL 安全公告的說明和處理建議:
https://www.openssl.org/news/secadv/20220705.txt
(1)OpenSSL 3.0.5 (含)之後的版本。
(2)OpenSSL 1.1.1q (含)之後的版本。
細節描述: OpenSSL近日發布更新,以解決多個產品的安全性弱點,

(1)OpenSSL 3.0.4版造成RSA 2048-bit私有金鑰的實作錯誤,影響支援AVX512IFMA指令的X86_64 CPU,會在搭載這些CPU的機器上引發記憶體?損。記憶體?損的結果可使攻擊者在這些機器上遠端執行程式碼。

(2)32 位元 x86 的 AES OCB 模式情況下,使用 AES-NI程式集優化的不會加密全部數據。這可以顯示記憶體中預先存在,但未寫入的 16 個位元組的數據。在“就地”加密的特殊情況下,將顯示 16個位元組的明文。

參考資訊: US-CERT
OpenSSL
iThome

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *