| 風險等級: | 高度威脅 |
| 摘要: | 弱點通告: OpenSSL 近日發布更新,以解決OpenSSL的安全性弱點,建議請管理者儘速評估更新! |
| 影響系統: |
|
| 解決辦法: | 請參考OpenSSL 安全公告的說明和處理建議: https://www.openssl.org/news/secadv/20220705.txt (1)OpenSSL 3.0.5 (含)之後的版本。 (2)OpenSSL 1.1.1q (含)之後的版本。 |
| 細節描述: | OpenSSL近日發布更新,以解決多個產品的安全性弱點,
(1)OpenSSL 3.0.4版造成RSA 2048-bit私有金鑰的實作錯誤,影響支援AVX512IFMA指令的X86_64 CPU,會在搭載這些CPU的機器上引發記憶體?損。記憶體?損的結果可使攻擊者在這些機器上遠端執行程式碼。 (2)32 位元 x86 的 AES OCB 模式情況下,使用 AES-NI程式集優化的不會加密全部數據。這可以顯示記憶體中預先存在,但未寫入的 16 個位元組的數據。在“就地”加密的特殊情況下,將顯示 16個位元組的明文。 |
| 參考資訊: | US-CERT OpenSSL iThome |