OpenSSL 加密库中已发现一个漏洞(尚未分配 CVE),借助该漏洞,远程攻击者可以通过在建立 TLS 连接时发送专门设计的数据来损坏进程内存的内容。目前尚不清楚该问题是否会导致攻击者代码执行和进程内存中的数据泄漏,或者是否仅限于崩溃。
该漏洞出现在 3.0.4 月 21 日发布的 OpenSSL 8192 版本中,是由于代码错误修复不正确而导致的,该错误可能导致最多 86 字节的数据被覆盖或超出分配的缓冲区读取。该漏洞只能在支持 AVX64 指令的 x512_XNUMX 系统上利用。
OpenSSL 的分支(例如 BoringSSL 和 LibreSSL)以及 OpenSSL 1.1.1 分支不受该问题的影响。该修复目前仅作为补丁提供。在最坏的情况下,该问题可能比 Heartbleed 漏洞更危险,但由于该漏洞仅出现在 OpenSSL 3.0.4 版本中,而许多发行版继续发布 1.1.1 版本,因此威胁级别降低了。默认情况下分支或尚未有时间使用版本 3.0.4 构建包更新。
来源: opennet.ru