OpenSSL发布远程内存损坏漏洞的安全修补程序

已发现最新版本的OpenSSL库易受选定系统上远程内存损坏漏洞的影响。

该问题已在2022年6月21日发布的OpenSSL版本3.0.4中发现，并影响了使用AVX-512指令集的x64系统。OpenSSL 1.1.1以及OpenSSL分叉BoringSSL和LibreSSL不受影响。

安全研究人员GuidoVranken在5月底报告了该漏洞，他表示该漏洞“可以由攻击者轻易触发”虽然该缺陷已经修复，但尚未提供修补程序。

OpenSSL是一个流行的加密库，它提供了传输层安全（TLS）协议的开源实现。高级向量扩展（AVX）是Intel和AMD微处理器x86指令集体系结构的扩展。

“我不认为这是一个安全漏洞，”OpenSSL基金会的TomášMráz在GitHub发布的帖子中说。“这只是一个严重的错误，使得3.0.4版本无法在支持AVX-512的机器上使用。”

另一方面，Alex Gaynor指出，“我不知道我怎么知道这不是一个安全漏洞。这是一个堆缓冲区溢出，可由RSA签名之类的东西触发，在远程上下文中很容易发生（例如TLS握手）。”

西电大学研究生Xi（XiRuoyao）插话说，尽管“我认为我们不应该将一个bug标记为‘安全漏洞’，除非我们有证据表明它可以（或至少可能）被利用”，但鉴于问题的严重性，有必要尽快发布3.0.5版。