Hackernews 编译,转载请注明出处:
OpenSSL于1998年首次发布,是一个通用加密库,它提供了安全套接字层和传输层安全协议的开源实现,使用户能够生成私钥,创建证书签名请求,安装SSL/TLS证书。
OpenSSL项目的维护者已经发布了补丁,以解决加密库中的一个严重错误,该错误可能在某些场景下导致远程代码执行。
该问题现在被分配为漏洞编号CVE-2022-2274,并被描述为在2022年6月21日发布的OpenSSL 3.0.4版本中引入的RSA私钥操作导致堆内存损坏的情况。
维护者称其为“RSA实现中的严重漏洞”,称该漏洞可能导致计算过程中的内存损坏,攻击者可能将其武器化,以触发执行计算的机器上的远程代码执行。
西安电子科技大学博士生Xi Ruoyao于2022年6月22日向OpenSSL报告了该漏洞。建议该库的用户升级到OpenSSL版本3.0.5,以减轻任何潜在的威胁。
消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文