OpenSSL发布了针对可能导致RCE攻击的高严重性错误的修补程序

OpenSSL项目的维护者已经发布了补丁，以解决加密库中的一个严重错误，该错误在某些情况下可能导致远程代码执行。

问题，现在分配了标识符，被描述为在2022年6月21日发布的OpenSSL版本3.0.4中引入的RSA私钥操作导致堆内存损坏的案例。

OpenSSL于1998年首次发布，是一个通用加密库，提供了安全套接字层（SSL）和传输层安全（TLS）协议的开源实现，使用户能够生成私钥、创建证书签名请求（CSR）、安装SSL/TLS证书。

“SSL/TLS服务器或其他使用2048位RSA私钥的服务器运行在支持X86\u 64体系结构的AVX512IFMA指令的机器上，受此问题的影响，”该公告指出。

维护人员称其为“RSA实现中的严重缺陷”，称该缺陷可能导致计算过程中的内存损坏，攻击者可以将其武器化，以触发执行计算的机器上的远程代码执行。

Xi是西安电子科技大学的一名博士生，他于2022年6月22日向OpenSSL报告了该漏洞。建议该库的用户升级到OpenSSL版本3.0.5，以缓解任何潜在威胁。