OpenSSL修复3个漏洞，敦促立即更新

OpenSSL更新解决了3个可能导致密钥恢复、代码执行和拒绝服务攻击的漏洞。建议用户尽快更新。

OpenSSL项目已发布安全更新，修复其开源SSL/TLS工具包中的三个漏洞，追踪编号为CVE-2025-9230、CVE-2025-9231和CVE-2025-9232。

OpenSSL是一个开源库，提供加密、解密、哈希和数字证书管理功能。它支持SSL/TLS协议来保护互联网通信，广泛用于Web服务器、应用程序和系统，以保护传输中的敏感数据并确保隐私。

项目维护者发布了OpenSSL库的3.5.4、3.4.3、3.3.5、3.2.6、3.0.18、1.0.2zm和1.1.1zd版本，并敦促用户使用这些版本。

CVE-2025-9230是OpenSSL中基于密码加密（PWRI）的CMS解密功能的一个漏洞。它会触发越界读取/写入，导致崩溃（拒绝服务）或可能启用代码执行的内存损坏。由于PWRI使用较少，风险有限，OpenSSL将该漏洞评为中等严重性。FIPS模块不受影响。用户应更新到修补版本以减轻潜在利用。

“这种越界读取可能触发崩溃，导致应用程序拒绝服务。越界写入可能导致内存损坏，可能产生各种后果，包括拒绝服务或执行攻击者提供的代码。“公告中写道。“尽管成功利用此漏洞的后果可能很严重，但攻击者能够执行它的概率很低。”

第二个漏洞追踪编号为CVE-2025-9231，是OpenSSL中影响64位ARM平台上SM2签名计算的中等严重性问题。它引入了一个时序侧信道，可能让攻击者通过精确的时序测量恢复私钥。尽管OpenSSL在TLS中不原生支持SM2密钥，但自定义提供程序可能启用其使用，使得该漏洞在这些上下文中相关。远程利用仍然是理论上的但可能，因此建议更新。

第三个漏洞是一个低严重性的OpenSSL问题，可能导致崩溃并触发拒绝服务状况。自Heartbleed以来，OpenSSL库的安全性已大幅提高。

今年2月，OpenSSL项目解决了其安全通信库中的一个高严重性漏洞，追踪编号为CVE-2024-12797。