一、漏洞详情
OpenSSL是一个广泛使用的开源加密库,提供实现安全通信协议的工具和库,支持多种加密算法。
近日,监测到OpenSSL中的一个高危栈缓冲区溢出漏洞,存在于解析CMS(加密消息语法)AuthEnvelopedData结构时。该漏洞源于OpenSSL在处理使用AEAD加密算法(如AES-GCM)的消息时,未对ASN.1参数中的初始化向量(IV)长度进行校验,直接将其复制到固定大小的栈缓冲区中,导致栈溢出。由于该过程发生在身份验证和完整性校验之前,攻击者可以构造特制的恶意CMS消息,利用超长IV值触发溢出。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
OpenSSL 3.6
OpenSSL 3.5
OpenSSL 3.4
OpenSSL 3.3
OpenSSL 3.0
三、修复建议
官方已发布修复补丁,以修复该漏洞。
OpenSSL >= 3.6.1
OpenSSL >= 3.5.5
OpenSSL >= 3.4.4
OpenSSL >= 3.3.6
OpenSSL >= 3.0.19
Designed by