OpenSSLは、特定のバージョンでバッファオーバーフローの脆弱性が発見されたことを公式に報告しました。 脆弱性のIDはCVE-2021-3711です。 リモート攻撃者は、SM2コンテンツを送信してバッファをオーバーフローし、システム上で任意のコードを実行したり、サービス拒否攻撃を開始したりできます。
脆弱性の詳細
このバッファオーバーフローの脆弱性は、EVP_PKEY_decrypt() 関数の不適切な境界チェックによって発生します。 この関数は、SM2-encryptedデータの復号化に使用されます。 詳細については、「OpenSSLセキュリティアドバイザリ」をご参照ください。.
影響を受けるサービス
SM2アルゴリズムとOpenSSL 1.1.1k以前を使用するサービス
セキュリティの提案
ApsaraDB for RedisのSSL暗号化機能は、OpenSSLに基づくサービスを提供します。 OpenSSLは、以降のバージョンでこの脆弱性を修正しました。 ApsaraDB for Redisは、この脆弱性を早期にフォローアップおよび修正しました。 潜在的なリスクを防ぐため、ApsaraDB for Redisインスタンスのマイナーバージョンを最新バージョンに更新する必要があります。 詳細については、「インスタンスのマイナーバージョンの更新」をご参照ください。