OpenSSL để phát hành bản vá bảo mật cho lỗ hổng bảo mật do lỗi bộ nhớ từ xa

Lỗ hổng bảo mật do hỏng bộ nhớ từ xa

Phiên bản mới nhất của thư viện OpenSSL đã được phát hiện là dễ có lỗ hổng làm hỏng bộ nhớ từ xa trên một số hệ thống được chọn.

Sự cố đã được xác định trong phiên bản OpenSSL 3.0.4, được phát hành vào ngày 21 tháng 6 năm 2022 và ảnh hưởng đến hệ thống x64 với tập lệnh AVX-512. OpenSSL 1.1.1 cũng như OpenSSL forks BoringSSL và LibreSSL không bị ảnh hưởng.

Nhà nghiên cứu bảo mật Guido Vranken, người đã báo cáo lỗi này vào cuối tháng 5, cho biết nó “có thể được kích hoạt bởi kẻ tấn công.” Mặc dù thiếu sót đã được khắc phục nhưng vẫn chưa có bản vá lỗi nào được cung cấp.

OpenSSL là một phổ biến cung cấp triển khai mã nguồn mở của giao thức Bảo mật lớp truyền tải (TLS). Phần mở rộng Vector nâng cao (AVX) là phần mở rộng cho kiến ​​trúc tập lệnh x86 dành cho bộ vi xử lý của Intel và AMD.

“Tôi không nghĩ rằng đây là một lỗ hổng bảo mật”, Tomáš Mráz của OpenSSL Foundation cho biết trong một chủ đề về vấn đề GitHub. “Đó chỉ là một lỗi nghiêm trọng khiến bản phát hành 3.0.4 không thể sử dụng được trên các máy có hỗ trợ AVX-512.”

Mặt khác, Alex Gaynor chỉ ra rằng, “Tôi không chắc mình hiểu nó không phải là một lỗ hổng bảo mật như thế nào. Đó là lỗi tràn bộ đệm heap có thể được kích hoạt bởi những thứ như chữ ký RSA, điều này có thể dễ dàng xảy ra trong các ngữ cảnh từ xa (ví dụ: bắt tay TLS ). “

Xem tiếp:   Cơ quan giám sát bảo vệ dữ liệu của EU kêu gọi cấm đối với phần mềm gián điệp thương mại giống Pegasus

Xi Ruoyao, một sinh viên sau đại học tại Đại học Xidian, nói rằng mặc dù “Tôi nghĩ chúng ta không nên đánh dấu một lỗi là ‘lỗ hổng bảo mật’ trừ khi chúng ta có một số bằng chứng cho thấy nó có thể (hoặc ít nhất, có thể) bị khai thác”, cần phải phát hành phiên bản 3.0.5 càng sớm càng tốt do mức độ nghiêm trọng của vấn đề.

.

Related Posts

Check Also

Cuộc tấn công của Evil PLC mới vũ khí hóa các PLC để xâm phạm mạng OT và mạng doanh nghiệp

Các nhà nghiên cứu an ninh mạng đã phát triển một kỹ thuật tấn công …