HackerNews 编译,转载请注明出处:
最新OpenSSL更新修复了七处漏洞,其中包括一个可导致敏感数据泄露的缺陷。
该数据泄露问题编号CVE-2026-31790,评级为”中等严重性”,影响使用RSASVE密钥封装建立秘密加密密钥的应用程序。问题在于OpenSSL有时未能正确验证加密是否成功,但仍可能返回”成功”消息,将未初始化内存缓冲区的数据暴露给攻击者。
“未初始化缓冲区可能包含应用程序进程先前执行的敏感数据,导致敏感数据泄露给攻击者,”OpenSSL开发者在公告中解释。
该安全漏洞影响3.6、3.5、3.4、3.3和3.0版本,OpenSSL 1.0.2和1.1.1不受影响。
其余漏洞均被评为”低严重性”,多数可被利用导致应用程序崩溃和拒绝服务(DoS)条件。其中两处缺陷理论上可能导致任意代码执行,但一处影响不常见的OpenSSL配置,另一处涉及发送特制的1GB X.509证书。
OpenSSL开发者1月发布的更新修复了12处漏洞,包括一个可被利用实现远程代码执行的高严重性缺陷。目前OpenSSL的高严重性漏洞已较为罕见,2025年仅发现一处。
消息来源:securityweek.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文