OpenSSL修補高風險CMS解析堆疊溢位漏洞,恐致DoS甚至引發RCE
漏洞簡介
OpenSSL專案發布安全公告,修補高風險漏洞CVE-2025-15467。官方指出,程式在解析加密訊息語法(Cryptographic Message Syntax,CMS)的AuthEnvelopedData資料時,如果輸入惡意製作的訊息,可能觸發堆疊緩衝區溢位,導致服務當機形成拒絕服務(DoS),且在部分平臺防護不足時不排除被利用為遠端程式碼執行。
風險與影響
- 在解析CMS訊息時,若初始化向量過長,可能觸發堆疊緩衝區溢位,導致拒絕服務(DoS)。
- 部分平臺因堆疊溢位保護機制,風險可能被減輕,但若防護不足,仍不排除被用於遠端程式碼執行(RCE)。
- 相關漏洞如CVE-2022-3602與CVE-2022-3786,曾被指出可能導致DoS與RCE攻擊。
建議措施
建議用戶盡速更新OpenSSL至最新版本,以確保系統安全,並啟用適當的防護機制以降低風險。