【漏洞通报】高严重性 OpenSSL 错误可能导致远程代码执行

OpenSSL 中的一个高严重性漏洞可能允许恶意行为者在服务器端设备上实现远程代码执行 (RCE)。

OpenSSL 是一个广泛使用的加密库，它提供了安全套接字层 (SSL) 和传输层安全 (TLS) 协议的开源实现。

它包括用于生成 RSA 私钥和执行加密和解密等任务的工具。

OpenSSL 3.0.4 版本在支持 AVX512IFMA 指令的 X86_64 CPU 的 RSA 实现中引入了一个“严重错误”。

此问题 (CVE-2022-2274) 导致使用 2048 位私钥的 RSA 实现不正确，这意味着在计算过程中会发生内存损坏。

OpenSSL 维护人员表示，由于内存损坏，攻击者可能能够在执行计算的机器上触发RCE 。

2022 年 6 月 22 日，此问题由也开发了修复程序的 Xi Ruoyao 报告给 OpenSSL。

SSL/TLS 服务器或其他使用 2048 位 RSA 私钥的服务器在支持 X86_64 架构的 AVX512IFMA 指令的机器上运行会受到此问题的影响。

“在易受攻击的机器上，对 OpenSSL 的正确测试将失败，应在部署前注意，”该公告写道。

OpenSSL 3.0.4 版本的用户应升级到 OpenSSL 3.0.5。OpenSSL 1.1.1 和 1.0.2 不受此问题的影响。

官方通报全文