2022 年 6 月 21 日發布的 OpenSSL 3.0.4 版加密函式庫被發現存在高嚴重性安全漏洞(編號 CVE-2022-2274),該漏洞會造成 RSA 私鑰操作不正確與堆積記憶體(Heap Memory)損壞,進而在某些情況下引發遠端程式碼執行(RCE)攻擊的可能風險。日前,OpenSSL 計畫維護人員已經發布更新修補程式,以解決這個高風險漏洞問題。
首次發布於 1988 年的 OpenSSL 是一個通用加密函式庫,專門提供 SSL 與 TSL 通訊協定的開源實作,使用者可以藉此生成私鑰、建立憑證簽章要求(Certificate Signing Request,CSR),並安裝 SSL/TLS 憑證。
OpenSSL 最新安全公告強調指出,凡是使用 2048 位元 RSA 私鑰的 SSL/TLS 伺服器或其他伺服器(而且該私鑰運行在支援 X86_64 架構 AVX512FMA 指令的機器上)都會受到這個漏洞的影響。
OpenSSL 最新安全公告之所以會將該漏洞的嚴重性評為「高」的理由,是因為該漏洞會導致運算過程中的記憶體損壞,駭客因而能乘隙對特定機器發動遠端程式碼執行攻擊。不論如何,使用者應儘早更新至 OpenSSL 3.05 版,以緩解可能的潛在威脅與風險。
(首圖來源:Pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
