OpenSSL通过最新更新修复了多个新的安全漏洞

OpenSSL项目已经发布了修复程序，以解决几个安全漏洞，包括开源加密工具包中的一个高严重错误，该错误可能会使用户遭受恶意攻击。

维护者在一份公告中说，该问题被跟踪为CVE-2023-0286，与类型混淆的情况有关，该情况可能允许对手“读取内存内容或制定拒绝服务”。

该漏洞的根源在于常用加密库处理 X.509 证书的方式，并且可能仅影响那些具有用于通过网络检索证书吊销列表 （CRL） 的自定义实现的应用程序。“在大多数情况下，攻击要求攻击者同时提供证书链和CRL，两者都不需要有效的签名，”OpenSSL说。“如果攻击者只控制其中一个输入，则另一个输入必须已经包含 X.400 地址作为 CRL 分发点，这种情况并不常见。

类型混淆缺陷可能会产生严重后果，因为它们可能被武器化，故意强制程序以意想不到的方式运行，可能导致崩溃或代码执行。

此问题已在 OpenSSL 版本 3.0.8、1.1.1t 和 1.0.2zg 中修复。作为最新更新的一部分解决的其他安全漏洞包括：

• CVE-2022-4203 - X.509 名称约束读取缓冲区溢出

• CVE-2022-4304 - 在 RSA 解密中计时

• CVE-2022-4450 - 调用PEM_read_bio_ex后双重释放

• CVE-2023-0215 - 释放后使用BIO_new_NDEF

• CVE-2023-0216 - d2i_PKCS7函数中的指针取消引用无效

• CVE-2023-0217 - 验证 DSA 公钥时取消引用为 NULL

• CVE-2023-0401 - PKCS7 数据验证期间取消引用空

成功利用上述缺点可能导致应用程序崩溃，泄露内存内容，甚至通过利用基于时间的侧信道来恢复通过网络发送的明文消息，这是Bleichenbacher风格的攻击。

在 OpenSSL 插入处理 X.2022 证书时出现的低严重性漏洞 （CVE-3996-509） 近两个月后，修复程序到达，从而导致拒绝服务条件。

原文始发于微信公众号（黑猫安全）：OpenSSL通过最新更新修复了多个新的安全漏洞