OpenSSL 高危漏洞可被用于修改应用数据

admin 2022年1月3日09:06:46安全新闻评论45 views940字阅读3分8秒阅读模式

OpenSSL 高危漏洞可被用于修改应用数据 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


本周二,OpenSSL Project 宣布发布 OpenSSL 1.1.11 版本,修复了一个高危漏洞。该漏洞可导致攻击者变更应用程序的行为或导致应用崩溃。
OpenSSL 高危漏洞可被用于修改应用数据


该漏洞的编号为 CVE-2021-3711,是和 SM2 解密相关的缓冲区溢出漏洞。OpenSSL Project 在安全公告中指出,“向应用程序展示用于解密的 SM2 内容的恶意攻击者,使缓冲区溢出最多62字节的数据,修改缓冲区后持有的其它数据内容,很可能更改应用程序行为或导致应用程序崩溃。该缓冲区的位置虽然依赖于应用程序,但通常被分配了堆。”

OpenSSL Project 表示,攻击者能做出的更改取决于目标应用程序以及在溢出缓冲区后在堆中立即持有的数据类型。“研究员解释称,”想象下应用程序可能在内存中拥有的数据类型,再想象下如果攻击者能够更改会带来何种后果。“

该漏洞影响 OpenSSL 1.1.1 版本。

另外,OpenSSL 还修复了可被用于发动拒绝服务以及披露私密内存内容如密钥等的中危漏洞 (CVE-2021-3712)。该漏洞已在版本1.1.1j 和1.0.2za 中修复。

今年还发现了其它5个 OpenSSL 漏洞,其中两个为高危漏洞。2020年仅发现3个漏洞。

继2014年爆发“心脏出血“漏洞后,开源的 TLS 库的安全性大大提升,过去几年来仅发现了少量高危缺陷。







推荐阅读

速修复!OpenSSL 披露DoS 和证书验证高危漏洞,可导致服务器崩溃
OpenSSL 修复三个新漏洞
OpenSSL 修复可导致 DoS攻击的高危漏洞
“心脏出血”后,OpenSSL 起死回生靠什么?





原文链接

https://www.securityweek.com/openssl-vulnerability-can-be-exploited-change-application-data


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




OpenSSL 高危漏洞可被用于修改应用数据
OpenSSL 高危漏洞可被用于修改应用数据

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   OpenSSL 高危漏洞可被用于修改应用数据 觉得不错,就点个 “在看” 或 "” 吧~



本文始发于微信公众号(代码卫士):OpenSSL 高危漏洞可被用于修改应用数据

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月3日09:06:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  OpenSSL 高危漏洞可被用于修改应用数据 http://cn-sec.com/archives/473610.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: