Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
OpenSSL vá lỗi nghiêm trọng có thể bị khai thác để tấn công RCE
OpenSSL vừa phát hành bản vá cho lỗ hổng nghiêm trọng trong thư viện mật mã, có thể bị khai thác để thực thi mã từ xa trong một số tình huống nhất định.
Lỗ hổng CVE-2022-2274, được mô tả là lỗi bộ nhớ heap với thao tác khóa riêng RSA đã được giới thiệu trong OpenSSL phiên bản 3.0.4, phát hành ngày 21/06/2022.
Lần đầu ra mắt vào năm 1998, OpenSSL là một thư viện mật mã có mục đích chung cung cấp việc triển khai mã nguồn mở của các giao thức SSL (Secure Sockets Layer) và TLS (Transport Layer Security), cho phép người dùng tạo khóa cá nhân, tạo yêu cầu ký chứng chỉ (CSR), cài đặt chứng chỉ SSL/TLS.
"Máy chủ SSL/TLS hoặc các máy chủ khác sử dụng khóa riêng RSA 2048 bit chạy trên các máy hỗ trợ hướng dẫn AVX512IFMA của kiến trúc X86_64 bị ảnh hưởng bởi lỗi này", khuyến cáo lưu ý.
Gọi đây là một "lỗi nghiêm trọng trong việc triển khai RSA", các đại diện OpenSSL cho biết lỗ hổng có thể dẫn đến hỏng bộ nhớ trong quá trình tính toán. Hacker có thể vũ khí hóa để kích hoạt thực thi mã từ xa trên máy thực hiện tính toán.
Lỗ hổng đã được thông báo tới OpenSSL vào ngày 22/06/2022. Người dùng thư viện nên nâng cấp lên OpenSSL phiên bản 3.0.5 để giảm thiểu mọi nguy cơ tiềm ẩn.
Lỗ hổng CVE-2022-2274, được mô tả là lỗi bộ nhớ heap với thao tác khóa riêng RSA đã được giới thiệu trong OpenSSL phiên bản 3.0.4, phát hành ngày 21/06/2022.
Lần đầu ra mắt vào năm 1998, OpenSSL là một thư viện mật mã có mục đích chung cung cấp việc triển khai mã nguồn mở của các giao thức SSL (Secure Sockets Layer) và TLS (Transport Layer Security), cho phép người dùng tạo khóa cá nhân, tạo yêu cầu ký chứng chỉ (CSR), cài đặt chứng chỉ SSL/TLS.
"Máy chủ SSL/TLS hoặc các máy chủ khác sử dụng khóa riêng RSA 2048 bit chạy trên các máy hỗ trợ hướng dẫn AVX512IFMA của kiến trúc X86_64 bị ảnh hưởng bởi lỗi này", khuyến cáo lưu ý.
Gọi đây là một "lỗi nghiêm trọng trong việc triển khai RSA", các đại diện OpenSSL cho biết lỗ hổng có thể dẫn đến hỏng bộ nhớ trong quá trình tính toán. Hacker có thể vũ khí hóa để kích hoạt thực thi mã từ xa trên máy thực hiện tính toán.
Lỗ hổng đã được thông báo tới OpenSSL vào ngày 22/06/2022. Người dùng thư viện nên nâng cấp lên OpenSSL phiên bản 3.0.5 để giảm thiểu mọi nguy cơ tiềm ẩn.
Nguồn: The Hacker News
Chỉnh sửa lần cuối: