安全通告
OpenSSL RSA远程代码执行漏洞
风险通告
发布日期:2022-7-8
漏洞描述
近日,检测到OpenSSL 官方发布OpenSSL RSA 私钥操作中的堆内存损坏通告(CVE-2022-2274),OpenSSL 3.0.4 版本在X86_64 的 RSA 实现中引入了一个严重的错误,运行在支持 AVX512IFMA 扩展指令的X86_64 架构的机器上的SSL/TLS 服务器或其他使用 2048 位 RSA 私钥的服务器会受到影响。
漏洞编号
CVE-2022-2274
漏洞危害
攻击者利用此漏洞可能会在目标系统上执行任意代码。
漏洞等级
高危
受影响版本
OpenSSL 3.0.4
修复方案
- 通过openssl version 命令查看 OpenSSL 版本,确认不是 OpenSSL 3.0.4;
- 通过cat /proc/cpuinfo | grep avx512ifma 命令确认系统不支持 AVX512IFMA 扩展指令,如果输出中没有 “avx512ifma” 则代表系统不支持AVX512IFMA 扩展指令,如果版本为OpenSSL 3.0.4,且系统支持AVX512IFMA 扩展指令,则受此漏洞影响。用户可升级至0.5 版本。
- 受影响的用户可升级至OpenSSL 3.0.5 最新版本:
参考链接
https://github.com/openssl/openssl/releases/tag/openssl-3.0.5
https://www.openssl.org/news/secadv/20220705.txt