近日,OpenSSL官方發布資訊安全諮詢,披露在特定版本中存在緩衝區溢位漏洞(編號CVE-2021-3711),遠程攻擊者可通過發送特製的SM2內容,溢出緩衝區並在系統上執行其他代碼或導致拒絕服務。
漏洞資訊
該漏洞是OpenSSL在解密SM2時造成的緩衝區溢位漏洞,是由於SM2解密實現中的EVP_PKEY_decrypt()函數的邊界檢查不當所導致。更多資訊,請參見OpenSSL Security Advisory。
影響範圍
使用了SM2演算法,且OpenSSL版本的版本低於或等於1.1.1k。
安全建議
KVStore for Redis的SSL加密功能基於OpenSSL來提供服務,OpenSSL已在新版本中修複了此漏洞,KVStore for Redis已及時跟進並修複此漏洞,您需要將執行個體的小版本升級至最新以避免潛在風險。具體操作,請參見升級小版本與代理版本。