OpenSSL漏洞允许私钥恢复、代码执行和DoS攻击

OpenSSL项目已宣布推出开源SSL/TLS工具包的新版本，其中包含针对三个漏洞的补丁。

已发布的OpenSSL库版本包括3.5.4、3.4.3、3.3.5、3.2.6、3.0.18、1.0.2zm和1.1.1zd。大多数版本修复了所有三个漏洞，这些漏洞被追踪为CVE-2025-9230、CVE-2025-9231和CVE-2025-9232。

其中两个漏洞被评定为“中等严重性”。其中之一是CVE-2025-9231，可能允许攻击者恢复私钥。

OpenSSL被许多应用程序、网站和服务用于保护通信安全，能够获取私钥的攻击者可能能够解密加密流量或进行中间人（MitM）攻击。

然而，OpenSSL开发人员指出，只有64位ARM平台上的SM2算法实现受到影响。

开发人员解释说：“OpenSSL在TLS中不直接支持带有SM2密钥的证书，因此在大多数TLS环境中，此CVE并不相关。但是，考虑到可以通过自定义提供程序添加对此类证书的支持，再加上在这种自定义提供程序环境中，私钥可能通过远程计时测量恢复，我们认为这是一个中等严重性问题。”

CVE-2025-9230被描述为一个越界读/写问题，可被利用来执行任意代码或进行DoS攻击，也被评定为“中等严重性”。

“尽管成功利用此漏洞的后果可能很严重，但攻击者能够执行它的概率很低，”OpenSSL项目的安全公告解释说。

第三个漏洞是“低严重性”，可被利用来触发崩溃，导致DoS状况。

自发现著名的Heartbleed漏洞以来，OpenSSL的安全性已经取得了很大进展。

虽然一些缺陷仍然成为头条新闻，但近年来在OpenSSL中发现的漏洞数量和严重性一直较低。截至2025年，仅修复了另外三个问题，其中只有一个具有“高严重性”评级。

这个高严重性问题是由苹果研究人员发现的，它可能允许中间人攻击。