以下是OpenSSL在Linux中的一些常见漏洞:
- 心脏出血漏洞(Heartbleed):影响OpenSSL 1.0.1版本(不含1.0.1g),可导致攻击者读取服务器内存中的敏感信息,如私钥、用户数据等。
- CVE-2021-3449:拒绝服务漏洞,影响所有基于OpenSSL 1.1.1构建的TLS服务器,因TLS重协商阶段未正确处理扩展字段,可被恶意请求触发崩溃。
- CVE-2022-2274:远程代码执行漏洞,存在于OpenSSL 3.0.4版本,由于RSA私钥运算内存损坏,攻击者可构造特定密钥触发漏洞。
- CVE-2022-3602:任意4字节堆栈缓冲区溢出漏洞,可能导致拒绝服务或远程代码执行,影响OpenSSL 3.0.0及更高版本。
- CVE-2024-12797:高危漏洞,可被攻击者利用发起中间人攻击,影响OpenSSL 3.4、3.3和3.2版本。
