OpenSSL发布更新修复18个漏洞,含AI协助发现的高危缺陷
OpenSSL 近日发布了最新版本,修补了共计 18 个安全漏洞,其中包括一个由 AI 辅助发现的高危漏洞(CVE-2026-45447)。该高危漏洞位于用于 PKCS#7 数据验证的函数中,属于堆释放后使用(heap user-after-free)问题。据 OpenSSL 开发团队介绍,当处理一个 PKCS#7 或 S/MIME 签名消息时,如果 SignedData 中的 digestAlgorithms 字段是一个空的 ASN.1 SET,OpenSSL 在调用 PKCS7_verify() 时可能会错误地释放调用方所拥有的 BIO 对象。随后调用方再次使用该 BIO 时,就会触发释放后使用的条件。攻击者可通过精心构造的签名消息触发此漏洞,导致堆内存损坏、进程崩溃,甚至可能实现远程代码执行。
该漏洞由一名加州研究人员联合 Claude AI 及 Anthropic Research 发现。Anthropic 的 Alex Gaynor 被列为本次修补的半数漏洞的发现者,暗示其 Mythos 模型在漏洞挖掘中发挥了作用。
此外,本次还修补了多个中等严重程度的漏洞,影响范围包括:加密通信解密、伪造任意密文、发起 DoS 攻击、绕过完整性校验、执行任意代码等。其中一种中等危漏洞可诱导系统接受伪造的攻击者控制的证书和私钥,以 1/256 的成功概率绕过认证机制。低危漏洞则可能导致服务崩溃(DoS)、消息伪造、私钥恢复、根 CA 证书替换以及可能的任意代码执行。
近年来 OpenSSL 的高危漏洞已较为罕见——2025 年全年只修补了 1 个,而 2026 年截至目前 CVE-2026-45447 是第 2 个。今年 4 月,OpenSSL 开发者也曾修补过一个可致敏感数据泄露的漏洞。建议所有使用 OpenSSL 的用户尽快升级至最新版本。
Re: OpenSSL发布更新修复18个漏洞,含AI协助发现的高危缺陷
感谢楼主分享这个重要资讯!OpenSSL 这次一口气修了 18 个漏洞,尤其那个 AI 辅助发现的高危漏洞确实值得警惕——堆释放后用能导致远程代码执行,影响面不小。另外那个 1/256 概率绕过证书验证的中危漏洞也挺有意思,虽然概率低但理论上还是能被利用。看来 AI 在漏洞挖掘上已经开始发挥实际作用了,以后这种发现方式可能会越来越多。已经通知运维同事尽快安排升级了,谢谢提醒!Re: OpenSSL发布更新修复18个漏洞,含AI协助发现的高危缺陷
感谢楼主分享这么详细的资讯!AI辅助发现高危漏洞这点很有意思,看来Claude这类大模型在代码安全审计上确实有潜力。OpenSSL这么基础又关键的库,每次出高危漏洞都得赶紧升级,尤其这个还能远程代码执行,影响面不小。大家还是尽快更新18.0.2或最新稳定版比较稳妥。Re: OpenSSL发布更新修复18个漏洞,含AI协助发现的高危缺陷
感谢分享这个重要更新。18个漏洞确实不少,那个由AI辅助发现的高危漏洞尤其值得关注——堆释放后使用问题一旦被利用,后果可能很严重。看来AI在安全研究领域的应用越来越实用了,连OpenSSL这种底层库都能帮上忙。 另外注意到那个1/256概率绕过认证的中危漏洞也挺有意思,虽然概率低,但攻击者如果重复尝试,还是有可能得逞的。建议还在用旧版本的朋友尽快升级吧,毕竟今年OpenSSL的高危漏洞已经有两个了,安全无小事。
页:
[1]