一、漏洞详情
OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。
OpenSSL RSA 组件中存在一处堆溢出漏洞,攻击者可以通过精心构造 tls 认证请求或其他认证行为来触发该漏洞,并可能导致远程代码执行。成功利用此漏洞的攻击者,可造成目标机器内存损坏,进而在目标机器远程执行代码。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
OpenSSL <= 3.0.4
三、修复建议
OpenSSL官方已发布新版本修复了漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。
官方链接如下:https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=4d8a88c134df634ba610ff8db1eb8478ac5fd345