2022年6月21日发布的OpenSSL 3.0.4版加密函数库被发现存在高严重性安全漏洞(编号CVE-2022-2274),该漏洞会造成RSA私钥操作不正确与堆积内存(Heap Memory)损坏,进而在某些情况下引发远程程序代码执行(RCE)攻击的可能风险。日前,OpenSSL计划维护人员已经发布更新修补程序,以解决这个高风险漏洞问题。
首次发布于1988年的OpenSSL是一个通用加密函数库,专门提供SSL与TSL通信协议的开源实例,用户可以借此生成私钥、创建凭证签章要求(Certificate Signing Request,CSR),并安装SSL/TLS凭证。
OpenSSL最新安全公告强调指出,凡是使用2048位元RSA私钥的SSL/TLS服务器或其他服务器(而且该私钥运行在支持X86_64架构AVX512FMA指令的机器上)都会受到这个漏洞的影响。
OpenSSL最新安全公告之所以会将该漏洞的严重性评为“高”的理由,是因为该漏洞会导致运算过程中的内存损坏,黑客因而能乘隙对特定机器发动远程程序代码执行攻击。不论如何,用户应尽早更新至OpenSSL 3.05版,以缓解可能的潜在威胁与风险。
(首图来源:Pixabay)