加密函式庫 OpenSSL 日前發布了多個版本的重要安全更新(包含 3.6.1, 3.5.5, 3.4.4, 3.3.6, 3.0.19 等),本次更新共修補了 12 個安全漏洞。其中包含一個被官方列為「高風險」(High Severity)的堆疊緩衝區溢位漏洞,攻擊者可能利用此漏洞在未經身分驗證的情況下執行惡意程式碼。
OpenSSL 的應用範圍超級廣大,舉凡伺服器、個人電腦、物聯網裝置、虛擬機平台等等都有採用,OpenSSL 就像是數位世界的「水電基礎設施」,它的滲透率之所以驚人,是因為它不僅僅是一個終端應用程式,而是作為一個底層函式庫(Library)被嵌入在無數的軟體堆疊中。包括程式語言的執行環境 (Runtimes)、容器與微服務架構 (Container & Cloud Native)、企業級儲存與備份、資料庫系統 (Databases)、虛擬私人網路與資安設備 (VPN & Security)、AI 與機器學習工作流等等,因此近期陸續都有在做修補的相關工作。
重大更新概覽
OpenSSL 專案團隊釋出了最新的修補版本,主要針對 OpenSSL 3.x 系列以及舊版的 1.1.1 和 1.0.2(針對付費支援用戶)進行維護。
本次修補的漏洞數量達 12 個,範圍涵蓋了 CMS 解析、PKCS#12 處理、TLS 1.3 憑證壓縮以及低階加密功能等多個層面。對於廣泛使用 OpenSSL 作為底層加密基礎的網站、伺服器及應用程式來說,這是一次必須立即關注的更新。
最高風險漏洞:CVE-2025-15467
在本次修補的漏洞清單中,威脅程度最高的是 CVE-2025-15467。
漏洞編號: CVE-2025-15467
官方嚴重性評級(Severity): 高 (High)
漏洞類型: 堆疊緩衝區溢位 (Stack Buffer Overflow)
影響範圍: OpenSSL 3.0, 3.3, 3.4, 3.5, 3.6 等版本。
技術細節: 該漏洞發生在 OpenSSL 解析 CMS(Cryptographic Message Syntax)的 AuthEnvelopedData 結構時。當應用程式處理使用 AEAD 密碼演算法(如 AES-GCM)的 CMS 訊息時,若攻擊者提供一個帶有超大初始化向量(IV)的惡意訊息,將會觸發堆疊緩衝區溢位。
潛在危害: 由於此溢位發生在身分驗證或標籤驗證之前,攻擊者無需具備有效金鑰或通過身分驗證即可觸發此漏洞。雖然利用難度取決於平台保護機制(如 ASLR),但在特定條件下,這可能導致服務崩潰(DoS)甚至遠端程式碼執行(RCE)。
其他值得注意的漏洞
除了上述的高風險漏洞外,本次更新還修補了多個中度(Moderate)與低度(Low)風險的漏洞,包括:
CVE-2025-11187 (Moderate): PKCS#12 MAC 驗證中的參數驗證不當,可能導致緩衝區溢位。
CVE-2025-66199: TLS 1.3 處理壓縮憑證時的記憶體分配過量問題(DoS 風險)。
CVE-2025-69419: PKCS#12 UTF-8 轉換時的越界寫入(Out-of-bounds write)。
CVE-2025-15468: SSL_CIPHER_find() 函數中的 NULL 指標解除參照。
受影響版本與建議更新
此次漏洞影響範圍廣泛,建議所有系統管理員與開發者立即檢查當前使用的 OpenSSL 版本,並升級至對應的最新修復版本:
OpenSSL 3.6 → 請升級至 3.6.1
OpenSSL 3.5 → 請升級至 3.5.5
OpenSSL 3.4 → 請升級至 3.4.4
OpenSSL 3.3 → 請升級至 3.3.6
OpenSSL 3.0 (LTS) → 請升級至 3.0.19
針對仍在使用 OpenSSL 1.1.1 或 1.0.2 的用戶, OpenSSL 官方僅對高級支援(Premium Support)客戶提供修補版本(1.1.1ze 與 1.0.2zn),建議一般用戶盡快規劃遷移至 OpenSSL 3.x 系列以獲得持續的安全保障。
詳細資料請參考 OpenSSL Release Announcement
