Openssl
Уязвимости
305
Эксплуатируемые
1
Макс. CVSS
10
Макс. EPSS
0.99999
Распределение по критичности
Критический
12
Высокий
69
Средний
192
Низкий
32
Затронутые диапазоны версий
0.9.8c-1–0.9.8g0.9.8–0.9.8i0.9.8–0.9.8k0.9.8–0.9.8m0.9.8–0.9.8x0.9.8–0.9.8za1.0.0–1.0.1g1.0.1–1.0.1g1.0.2b–1.0.2n1.0.2b–1.0.2o1.0.2s–1.0.2y1.0.2–1.0.2h1.0.2–1.0.2k1.0.2–1.0.2m1.0.2–1.0.2o1.0.2–1.0.2p1.0.2–1.0.2q1.0.2–1.0.2r1.0.2–1.0.2s1.0.2–1.0.2t1.0.2–1.0.2v1.0.2–1.0.2x1.0.2–1.0.2y1.0.2–1.0.2za
Также сопоставлено как (исходные строки): corporate_time_outlook_connector,network_security_services,openfortivpn,servercluster,openssl,openpkg,stunnel,application_server,mutt,http_server,gnutls,nss
Топ уязвимостей
CVE-2006-3738Переполнение буфера в функции SSL_get_shared_ciphers в OpenSSL 0.9.7 до 0.9.7l, 0.9.8 до 0.9.8d и более ранних версиях имеет неуказанные последствия и векторы удаленных атак, включающие длинный список шифров.
CVE-2026-31789Резюме выпуска: Преобразование чрезмерно большого значения OCTET STRING в
Шестидесятница приводит к переполнению кучи буфера на 32 битовых платформах.
Резюме удара: переполнение кучи может привести к аварии или, возможно,
Исполнение кода злоумышленника или другое неопределенное поведение.
Если злоумышленник может предоставить созданный сертификат X.509 с чрезмерной
большое значение осьминога в расширениях, таких как идентификатор ключа субъекта
(SKID) или идентификатор ключа Authority (AKID), которые преобразуются в хекс,
размер буфера, необходимого для результата, рассчитывается как умножение
длина входа на 3. На 32 бит-платформах это умножение может переполняться
приводит к выделению меньшего буфера и переполнению кучного буфера.
Приложения и услуги, которые печатают или регистрируют содержимое ненадежного X.509
Сертификаты уязвимы для этой проблемы. Как сертификаты имели бы
иметь размеры более 1 гигабайта, печатание или регистрацию таких сертификатов
это довольно маловероятная операция, и только 32 бит платформы затронуты,
Этому вопросу была присвоена низкая степень тяжести.
Модули FIPS в 3.6, 3.5, 3.4, 3.3 и 3.0 не затрагиваются этим
проблема, так как затронутый код находится за пределами границы модуля OpenSSL FIPS.
CVE-2021-3711Чтобы расшифровать данные, зашифрованные SM2, приложение должно вызвать функцию API EVP_PKEY_decrypt(). Обычно приложение вызывает эту функцию дважды. В первый раз, при входе, параметр "out" может быть NULL, а при выходе параметр "outlen" заполняется размером буфера, необходимым для хранения расшифрованного открытого текста. Затем приложение может выделить буфер достаточного размера и снова вызвать EVP_PKEY_decrypt(), но на этот раз передавая ненулевое значение для параметра "out". Ошибка в реализации кода расшифровки SM2 означает, что вычисление размера буфера, необходимого для хранения открытого текста, возвращаемого первым вызовом EVP_PKEY_decrypt(), может быть меньше фактического размера, необходимого для второго вызова. Это может привести к переполнению буфера, когда EVP_PKEY_decrypt() вызывается приложением во второй раз с буфером, который слишком мал. Злоумышленник, который может предоставить контент SM2 для расшифровки приложению, может вызвать переполнение буфера выбранными злоумышленником данными до максимума в 62 байта, изменяя содержимое других данных, хранящихся после буфера, возможно, изменяя поведение приложения или вызывая сбой приложения. Расположение буфера зависит от приложения, но обычно выделяется в куче. Исправлено в OpenSSL 1.1.1l (затронуты 1.1.1-1.1.1k).
CVE-2016-6309statem/statem.c в OpenSSL 1.1.0a не учитывает перемещение блока памяти после вызова realloc, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (use-after-free) или, возможно, выполнять произвольный код через специально созданный сеанс TLS.
CVE-2016-2842Функция doapr_outch в crypto/bio/b_print.c в OpenSSL 1.0.1 до версии 1.0.1s и 1.0.2 до версии 1.0.2g не проверяет успешность определенного выделения памяти, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (запись за пределами границ или потребление памяти) или, возможно, оказывать другое неуказанное воздействие через длинную строку, как продемонстрировано большим объемом данных ASN.1, что является другой уязвимостью, чем CVE-2016-0799.
CVE-2016-0799Функция fmtstr в crypto/bio/b_print.c в OpenSSL 1.0.1 до версии 1.0.1s и 1.0.2 до версии 1.0.2g неправильно вычисляет длины строк, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (переполнение и чтение за пределами выделенной памяти) или, возможно, оказывать другое неуказанное воздействие через длинную строку, как продемонстрировано большим объемом данных ASN.1, что является другой уязвимостью, чем CVE-2016-2842.
CVE-2016-0705Уязвимость double free в функции dsa_priv_decode в crypto/dsa/dsa_ameth.c в OpenSSL 1.0.1 до 1.0.1s и 1.0.2 до 1.0.2g позволяет удаленным злоумышленникам вызвать отказ в обслуживании (повреждение памяти) или, возможно, оказать другое не указанное воздействие через неправильно сформированный закрытый ключ DSA.
CVE-2009-3555Протокол TLS, а также протокол SSL 3.0 и, возможно, более ранние версии, используемые в Microsoft Internet Information Services (IIS) 7.0, mod_ssl в Apache HTTP Server 2.2.14 и более ранних версиях, OpenSSL до 0.9.8l, GnuTLS 2.8.5 и более ранних версиях, Mozilla Network Security Services (NSS) 3.12.4 и более ранних версиях, нескольких продуктах Cisco и других продуктах, неправильно связывает рукопожатия пересогласования с существующим соединением, что позволяет злоумышленникам "человек посередине" вставлять данные в HTTPS-сессии и, возможно, другие типы сессий, защищенные TLS или SSL, отправляя неаутентифицированный запрос, который обрабатывается ретроактивно сервером в контексте после пересогласования, что связано с атакой "plaintext injection", также известной как проблема "Project Mogul".
CVE-2003-0545Уязвимость двойного освобождения в OpenSSL 0.9.7 позволяет удаленным злоумышленникам вызвать отказ в обслуживании (сбой) и, возможно, выполнить произвольный код через клиентский сертификат SSL с определенной недействительной кодировкой ASN.1.
CVE-2007-4995Ошибка «на единицу меньше» в реализации DTLS в OpenSSL 0.9.8 до 0.9.8f позволяет удаленным злоумышленникам выполнять произвольный код через неуказанные векторы.
CVE-2026-34182Резюме выпуска: обработка Cryptographic Message Services (CMS) не выполняется
достаточная валидация на полях длины шифра и метки
Контейнеры AuthEnvelopedData, приводя к различным потенциальным компромиссам.
Резюме воздействия: Злоумышленники, использующие эти уязвимости, могут достичь
ключ-эквивалент функциональности для данного получателя CMS и/или целостности обхода
валидация для данного сообщения.
В одном случае использования злоумышленник может отправить сообщение CMS, содержащее
AuthEnvelopedДанные с шифром, указанным как шифр, не относящееся к AEAD. Открытая ССЛ
Ошибочно допускает этот выбор, и пытается расшифровать и проверить
Сообщение.
Злоумышленник на пути, который захватывает одну законную AES-GCM AuthEnvelopedData
адресованный жертве может повторно выпустить его с помощью набора получателяInfos влево
Байт-для-байт неповрежденным, так что закрытый ключ жертвы все еще разворачивает подлинный CEK
(ключ шифрования контента), но с внутренним OID, переписанным на AES-256-OFB
(Внедомка обратной связи, неаутентифицированный режим потока ключей) и с
Нападение-выбранное IV и шифротекст. Жертва инициализирует AES-256-OFB в рамках
реальный CEK, никогда не консультируется с MAC-полем, и CMS_decrypt() возвращает успех.
Если приложение под атакой отвечает злоумышленнику с любым индикатором
показывая успех или неудачу усилия по расшифровке, это возможно для
злоумышленник использует это как оракул для получения эквивалентной функциональности для
CEK используется для выбранного получателя сообщения.
В другом случае использования злоумышленник может уменьшить длину метки выбранного AEAD
шифр для данного контейнера AuthEnvelopedData должен быть однократным байтом,
позволяя злоумышленнику грубо расшифровывать CMS, создавая целостность
обход для приложений, которые доверяют CMS_decrypt(), чтобы отклонить измененный контент.
Модули FIPS не затрагиваются этой проблемой.
CVE-2020-7043Обнаружена проблема в openfortivpn 1.11.0 при использовании с OpenSSL до 1.0.2. tunnel.c неправильно обрабатывает проверку сертификата, поскольку при сравнении имен хостов не учитываются символы '\0', как продемонстрировано атакой good.example.com\x00evil.example.com.
CVE-2026-45447Резюме выпуска: Специально созданное PKCS#7 или S/MIME подписанное сообщение может
инициировать использование-после-бесплатно во время проверки подписи PKCS#7.
Резюме воздействия: использование-свобода может привести к сбоях процесса, куче
коррупция, или потенциально удаленное исполнение кода.
При обработке подписанного сообщения PKCS#7 или S/MIME, если подписанные данные
поле digestAlgorithms присутствует как пустой ASN.1 SET, OpenSSL может
неправильный бесплатный BIO, принадлежащий звонку, во время PKCS7_verify(). Последующий
использование BIO посредством вызывающего приложения приводит к использованию после-бесплатно
состояние.
В общем случае это происходит, когда приложение позже звонит
BIO_free() на BIO изначально перешел на PKCS7_verify(). В зависимости от
о поведении распределителя и специфичных для приложения BIO шаблонах использования, это
может привести к сбою или другому повреждению памяти. В некоторых случаях
контексты, которые потенциально могут быть использованы для удаленного выполнения кода.
Приложения, которые обрабатывают PKCS#7 или S/MIME подписанные сообщения с помощью OpenSSL
PKCS#7 могут быть затронуты API. Приложения, использующие CMS API для этого
обработка не затрагивается.
Модули FIPS в 4.0, 3.6, 3.5, 3.4 и 3.0 не затронуты этим
проблема, так как затронутый код находится за пределами границы модуля OpenSSL FIPS.
CVE-2025-15467Выполнение произвольного кода в OpenSSL
CVE-2016-2176Функция X509_NAME_oneline в crypto/x509/x509_obj.c в OpenSSL до версии 1.0.1t и 1.0.2 до версии 1.0.2h позволяет удаленным злоумышленникам получать конфиденциальную информацию из памяти стека процесса или вызывать отказ в обслуживании (переполнение буфера при чтении) через специально созданные данные EBCDIC ASN.1.
CVE-2026-7383Резюме выпуска: подписанный переполнение целых чисел при калибровке пункта назначения
буфер для вывода Unicode в ASN1_mbstring_ncopy() может привести к куче
Буферный переполнение.
Резюме удара: переполнение кучи может привести к сбою или, возможно,
Управляемое выполнение кода злоумышленника или другое неопределенное поведение.
В ASN1_mbstring_copy() и ASN1_mbstring_ncopy() пункт назначения
размер для вывода Unicode вычисляется в подписанном int: по левому сдвигу
вводимый символ для BMPSTRING (UTF-16) и
UNIVERSALSTRING (UTF-32) и суммирование подсчета байт на символ
для UTF8strING. Расчет переполняется, когда входные данные достигают
около 230 символов. В худшем случае (UNIVERSLSTRING в 2^30
символы) размер обертывается до нуля, OPENSSL_malloc(1) называется, и
последующая копия персонажа пишет несколько гигабайт мимо
Одноразовое распределение.
X.509 маршруты обработки сертификатов через ASN1_STRING_set_by_NID(),
чья маска DRSTRING_TYPE исключает UNIVERSALSTRING и чей per-NID
ограничения по размеру ограничьте длину входа; нет сетевого протокола или
Путь обработки сертификатов в OpenSSL осуществляет переполнение.
Для создания ошибки требуется приложение, которое вызывает
ASN1_mbstring_copy() или ASN1_mbstring_ncopy() напрямую, или регистрирует
пользовательский тип строки через ASN1_STRING_TABLE_add(), с
Контролируемый злоумышленником входной сигнал на порядке в полгигабайта или более.
По этим причинам этому вопросу была назначена низкая степень тяжести.
Модули FIPS в 4.0, 3.6, 3.5, 3.4 и 3.0 не подвержены влия.
эта проблема, поскольку затронутый код находится за пределами модуля OpenSSL FIPS
Граница.
CVE-2026-28387Резюме выпуска: необычная конфигурация клиентов, выполняющих DANE TLSA на основе
Аутентификация сервера в сочетании с необычным сервером DEN TLSA записывает, может
привести к использованию после-бесплатно и/или двойному без использования на стороне клиента.
Резюме воздействия: использование после бесплатного может иметь ряд потенциальных последствий
например, повреждение действительных данных, сбои или выполнение произвольного кода.
Тем не менее, проблема затрагивает только клиентов, которые используют записи TLSA с обоими
Использовать сертификат PKIX-TA(0/PKIX-EE(1) и сертификат DANE-TA(2)
использование.
Наиболее распространенное развертывание DANE находится в SMTP MTA, для которых RFC7672
рекомендует клиентам рассматривать как «непригодные» любые записи TLSA, которые имеют PKIX
Использование сертификатов. Эти SMTP (или другие подобные) клиенты не уязвимы
к этому вопросу. И наоборот, любые клиенты, которые поддерживают только использование PKIX, и
Игнорирование использования DANE-TA (2) также не являются уязвимыми.
Клиент также должен будет общаться с сервером, который публикует
TLSA RRset с обоими типами записей TLSA.
Никакие модули FIPS не затрагиваются этой проблемой, код проблемы находится за пределами
Граница модулей FIPS.
CVE-2022-2274В выпуске OpenSSL 3.0.4 была представлена серьезная ошибка в реализации RSA для ЦП X86_64, поддерживающих инструкции AVX512IFMA. Эта проблема делает реализацию RSA с 2048-битными закрытыми ключами неправильной на таких машинах, и во время вычислений произойдет повреждение памяти. Как следствие повреждения памяти, злоумышленник может вызвать удаленное выполнение кода на машине, выполняющей вычисление. Эта проблема затрагивает SSL/TLS-серверы или другие серверы, использующие 2048-битные закрытые ключи RSA, работающие на машинах, поддерживающих инструкции AVX512IFMA архитектуры X86_64.
CVE-2023-4807Краткое описание проблемы: Реализация POLY1305 MAC (кода аутентификации сообщений)
содержит ошибку, которая может повредить внутреннее состояние приложений на
платформе Windows 64 при работе на новых процессорах X86_64, поддерживающих
инструкции AVX512-IFMA.
Краткое описание последствий: Если в приложении, использующем библиотеку OpenSSL, злоумышленник
может повлиять на то, используется ли алгоритм POLY1305 MAC, состояние приложения
может быть повреждено с различными зависящими от приложения последствиями.
Реализация POLY1305 MAC (кода аутентификации сообщений) в OpenSSL не
сохраняет содержимое энергонезависимых регистров XMM на платформе Windows 64
при вычислении MAC данных размером более 64 байт. Перед возвратом к
вызывающей стороне все регистры XMM устанавливаются в ноль, а не восстанавливают свое
предыдущее содержимое. Уязвимый код используется только на новых процессорах x86_64,
поддерживающих инструкции AVX512-IFMA.
Последствия такого рода повреждения внутреннего состояния приложения могут
быть различными - от отсутствия последствий, если вызывающее приложение вообще не
зависит от содержимого энергонезависимых регистров XMM, до самых
серьезных последствий, когда злоумышленник может получить полный контроль над процессом
приложения. Однако, учитывая, что содержимое регистров просто обнуляется, так что
злоумышленник не может поместить внутрь произвольные значения, наиболее вероятным последствием,
если таковые будут, будет неверный результат некоторых зависящих от приложения
вычислений или сбой, приводящий к отказу в обслуживании.
Алгоритм POLY1305 MAC чаще всего используется как часть
CHACHA20-POLY1305 AEAD (аутентифицированное шифрование со связанными данными)
алгоритма. Наиболее распространенное использование этого AEAD-шифра - с протоколом TLS
версий 1.2 и 1.3, и вредоносный клиент может повлиять на то, используется ли этот AEAD-
шифр сервером. Это подразумевает, что серверные приложения, использующие
OpenSSL, могут быть потенциально затронуты. Однако в настоящее время нам не известно ни об
одном конкретном приложении, которое могло бы быть затронуто этой проблемой, поэтому мы
считаем это проблемой безопасности с низкой степенью серьезности.
В качестве обходного пути поддержку инструкций AVX512-IFMA можно отключить во время
выполнения, установив переменную среды OPENSSL_ia32cap:
OPENSSL_ia32cap=:~0x200000
Провайдер FIPS не подвержен этой проблеме.
CVE-2006-2940OpenSSL 0.9.7 до 0.9.7l, 0.9.8 до 0.9.8d и более ранние версии позволяют злоумышленникам вызывать отказ в обслуживании (потребление ЦП) через паразитические открытые ключи с большими значениями (1) "открытой экспоненты" или (2) "открытого модуля" в сертификатах X.509, которые требуют дополнительного времени для обработки при использовании проверки подписи RSA.
CVE-2006-2937OpenSSL 0.9.7 до 0.9.7l и 0.9.8 до 0.9.8d позволяет удаленным злоумышленникам вызывать отказ в обслуживании (бесконечный цикл и потребление памяти) через вредоносные структуры ASN.1, которые вызывают неправильно обработанное условие ошибки.
CVE-2010-3864Множественные состояния гонки в ssl/t1_lib.c в OpenSSL 0.9.8f до 0.9.8o, 1.0.0 и 1.0.0a, когда многопоточность и внутреннее кэширование включены на TLS-сервере, могут позволить удаленным злоумышленникам выполнять произвольный код через данные клиента, которые вызывают переполнение буфера на основе кучи, что связано с (1) расширением имени TLS-сервера и (2) криптографией эллиптических кривых.
CVE-2009-3245OpenSSL до версии 0.9.8m не проверяет возвращаемое значение NULL из вызовов функции bn_wexpand в (1) crypto/bn/bn_div.c, (2) crypto/bn/bn_gf2m.c, (3) crypto/ec/ec2_smpl.c и (4) engines/e_ubsec.c, что имеет неуказанное воздействие и контекстно-зависимые векторы атак.
CVE-2026-9076Резюме выпуска: Когда CMS паролевая расшифровка (RFC 3211 / PWRI ключ)
обрабатывает данные CMS, предоставленные злоумышленником, выбранный злоумышленником потоковый KEK
шифр может вызвать кучу вне пределов, прочитанный в kek_unwrap_key().
Резюме удара: перечитанный кучей буфер может вызвать сбой, который приводит к
Отказ в обслуживании для приложения, если буфер ввода заканчивается на памяти
граница страницы и следующая страница не повреждены. Нет никакой информации
раскрытие, так как перечитанные байты не раскрываются злоумышленнику.
Функция разворачивания ключа выполняет тест чек-байта, как указано в
RFC, который читает 7 байтов из распределения кучи, основанного на обернутом
Долгий ключ от сообщения. Существует проверка минимальной длины на основе
блок длины оберточного шифра. Однако шифр выбран из
OID, нести в брелоке PWRI шифрования Злоумышленника без
Требование, чтобы шифр был блочным шифром. Когда злоумышленник выбирает
потоково-схемный шифр охранника будет неэффективным и выделенный буфер
Содержащая незавернутый ключ может быть слишком мала, чтобы соответствовать чек-байту
Указанный в RFC и буферное перечитывание может произойти.
Приложения, вызывающие CMS_decrypt() или CMS_decrypt_set1_password()
(эквивалентно openssl cms -decrypt -pwri_password ...) на ненадежной CMS
Данные уязвимы для этой проблемы. Знание пароля не требуется:
перечитанный во время попытки разворачивания перед любой аутентификацией
Преуспевает.
Чрезмерное чтение ограничено несколькими байтами и не написано на выводе, поэтому
Нет никакого раскрытия информации. Спровоцирование аварии требует
выделение на границу ненанесенное на карту память, что маловероятно с нормальной
Распределитель.
Модули FIPS не затрагиваются этой проблемой.
CVE-2026-45445Резюме выпуска: Когда приложение управляет контекстом AES-OCB через
публичный EVP_Cipher() одноразовый интерфейс, поставляемый приложением
Вектор инициализации (IV) бесшумно отбрасывается.
Резюме воздействия: Каждое сообщение, зашифрованное под одним и одним и ту же ключом, использует
тот же эффективный нонце независимо от IV, предоставленного вызывающим абонентом,
что приводит к повторному использованию (ключ, nonce) и потере конфиденциальности. Если то
Тот же путь кода используется для вычисления тега аутентификации, тега
зависит только от пары (ключ, IV), а не от открытого текста или
шифротекст, позволяющий универсальное подделывание произвольного шифропоста из
Одиночное захваченное сообщение.
OpenSSL предоставляет два способа управлять шифром: документированный потоковый
интерфейс (EVP_CipherUpdate / EVP_CipherFinal_ex) и нижнее уровня
один выстрел, EVP_Cipher(), чья документация явно рекомендует
против использования приложениями в пользу EVP_CipherUpdate() и
EVP_CipherFinal_ex(). Потоковый обработчик OCB провайдера смывается
поставляемая заявка IV в контекст OCB перед обработкой
данные; обработчик с одним выстрелом - нет. Каждый звонок EVP_Cipher() на
Таким образом, контекст AES-OCB работал с нулевым ключом, полученным компенсацией
состояние, оставленное путем инициализации шифра, независимо от IV звонившего.
Если EVP_EncryptFinal_ex() впоследствии используется для получения
тег аутентификации, отложенная нагрузка IV работает в этот момент и
очищает бегущую контрольную сумму, которая должна была быть накоплена над
Открытый текст. Полученный тег является функцией только (ключ, IV) и
проверяет любой шифротекст, произведенный под ним (ключ, IV)
Пара.
Реализация OpenSSL SSL/TLS не затрагивается: AES-OCB не является
TLS шифрует пакет, и libssl ни в коем случае не называется EVP_Cipher().
Приложения, которые управляют AES-OCB через документированную потоковую передачу AEAD
API (EVP_CipherUpdate / EVP_CipherFinal_ex) не затрагиваются. Только
приложения, сочетающие шифр AES-OCB с EVP_Cipher()
Одноразовый API является уязвимым.
Модули FIPS в 4.0, 3.6, 3.5, 3.4 и 3.0 не затрагиваются
Этот вопрос, так как AES-OCB находится за пределами границы модуля OpenSSL FIPS.