CVE-2026-28386 是OpenSSL 3.6.0–3.6.2版本中发现的一个安全漏洞,它涉及在利用AVX-512和VAES支持的AES-CFB128加密或解密时,可能发生高达15字节的越界读取。 这种越界读取可能导致应用程序崩溃,从而造成拒绝服务,尤其是在输入缓冲区位于内存页边界时。 漏洞已在OpenSSL 3.6.2版本中修复。
OpenSSL 中的 CVE-2026-28386 影响使用 AVX-512 和 VAES 支持的系统上 AES-CFB128 加密或解密的应用程序。 在处理部分密码块时,可能会触发最多 15 字节的越界读取。 虽然读取的字节不会写入输出,因此不会泄露信息,但在特定条件下,此漏洞可能导致应用程序崩溃。 如果输入缓冲区在内存页边界处结束,并且后续页面未映射,则风险会增加,从而可能导致拒绝服务 (DoS)。 漏洞的严重程度取决于这些条件发生的可能性以及对服务的影响。
利用 CVE-2026-28386 需要特定条件:使用 AES-CFB128、AVX-512 和 VAES 的存在,以及输入缓冲区在内存页边界处结束,并且后续页面未映射。 这使得利用比更通用的漏洞的可能性更低,但仍然存在潜在风险。 攻击者可能会尝试操纵输入以强制对齐条件并触发应用程序崩溃。 利用的复杂性限制了其范围,但并没有消除对修复的需求。
漏洞利用状态
EPSS
0.07% (21% 百分位)
减轻 CVE-2026-28386 的解决方案是升级到 OpenSSL 版本 3.6.2 或更高版本。 此版本包含防止越界读取的修复程序。 强烈建议尽快应用此更新,尤其是在关键环境中。 此外,还建议审查 OpenSSL 安全配置和依赖项,以确保已实施更新版本和最佳安全实践。 对系统进行持续监控,以检测潜在的利用情况,也是一项重要的预防措施。
Actualice a OpenSSL versión 3.6.2 o superior para mitigar la vulnerabilidad. Esta actualización corrige un error de lectura fuera de límites en el modo AES-CFB-128 que puede causar una denegación de servicio en sistemas x86-64 con AVX-512 y VAES.
漏洞分析和关键警报直接发送到您的邮箱。
AES-CFB128 是一种使用 128 位块的 AES 块密码的运行模式。 是一种用于保护敏感数据的块密码模式。
AVX-512 是一组用于 x86 处理器的指令集扩展,允许对 512 位数据进行矢量运算。 VAES 是 AVX-512 扩展,提供用于 AES 加密的加速指令。
检查系统中安装的 OpenSSL 版本。 如果您使用的是 3.6.2 之前的版本,则容易受到攻击。 您可以使用命令行中的 openssl version 命令。
不建议使用临时解决方法。 升级到补丁版本是最好的选择。 避免在易受攻击的系统上使用 AES-CFB128 可能是选项,但可能会影响应用程序的功能。
如果无法立即升级,请监控您的系统是否存在可疑活动,并考虑实施额外的安全措施,例如防火墙和入侵检测系统。