OpenSSL專案發布安全公告,修補高風險漏洞CVE-2025-15467。官方指出,程式在解析加密訊息語法(Cryptographic Message Syntax,CMS)的AuthEnvelopedData資料時,如果輸入惡意製作的訊息,可能觸發堆疊緩衝區溢位,導致服務當機形成拒絕服務(DoS),且在部分平臺防護不足時不排除被利用為遠端程式碼執行。
官方說明,問題出在使用具驗證的加密演算法例如AES-GCM時,抽象語法表示法(ASN.1)參數中的初始化向量會被複製到固定大小的堆疊緩衝區,但程式未先驗證長度是否符合目的緩衝區大小。攻擊者可透過提供過長初始化向量的CMS訊息,在任何驗證或標籤檢查之前就造成越界寫入。官方也特別提醒,由於溢位發生在驗證前,觸發漏洞不需要有效金鑰。
受影響版本涵蓋OpenSSL 3.0到3.6多個分支,OpenSSL 1.1.1與1.0.2則不受此漏洞影響。官方也表示FIPS模組不受影響,原因是CMS實作不在FIPS模組邊界內。
OpenSSL指出,只要是會解析不受信任的CMS或公鑰加密標準PKCS#7內容,且使用AEAD加密演算法的服務與應用都可能受影響,例如處理S/MIME AuthEnvelopedData且採用AES-GCM的情境。因此企業郵件閘道或內容掃描服務,會自動解析外部寄入的S/MIME封裝內容,且底層連結到受影響版本,建議列為高優先修補項目。
修補方面,OpenSSL已在各分支釋出安全修補版本,包括OpenSSL 3.6.1、3.5.5、3.4.4、3.3.6與3.0.19,並在版本發布資訊中列入此漏洞修正。
用戶可先盤點主機與容器映像內實際提供的OpenSSL函式庫版本,並依所屬分支升級到對應修補版,因為許多應用程式即使完成更新,執行時仍會動態載入系統或映像中的libssl與libcrypto,當底層函式庫未同步更新,修補可能不會生效。
除了CVE-2025-15467,OpenSSL這次更新也一併修補多項風險較低或較受使用情境限制的漏洞,包含中等風險的CVE-2025-11187,以及多個主要影響為拒絕服務的低風險議題。其中CVE-2025-11187修補重點,是在驗證PKCS#12檔案的PBMAC1參數時缺乏完整驗證,可能在MAC驗證流程觸發堆疊緩衝區溢位或指標相關錯誤,導致服務當機形成DoS,官方指出,PKCS#12用於保存私鑰與憑證,實務上多屬內部產製與管理,應用程式直接接收不受信任PKCS#12檔案的情境相對少見,因此整體評估為中等風險。
熱門新聞
2026-01-27
2026-01-26
2026-01-27
2026-01-26
2026-01-27
2026-01-27