OpenSSL发布安全公告，修补高风险漏洞CVE-2025-15467

OpenSSL项目发布安全公告，修补高风险漏洞CVE-2025-15467。官方指出，程序在解析加密消息语法（Cryptographic Message Syntax，CMS）的AuthEnvelopedData数据时，若输入恶意构造的消息，可能触发栈缓冲区溢出，导致服务崩溃，形成拒绝服务（DoS）攻击；在部分平台防护不足的情况下，甚至可能被利用实现远程代码执行。

官方说明，问题出在使用带认证的加密算法（如AES-GCM）时，抽象语法标记（ASN.1）参数中的初始化向量会被复制到固定大小的栈缓冲区，但程序未先验证其长度是否符合目标缓冲区大小。攻击者可通过提供过长初始化向量的CMS消息，在任何验证或标签检查之前即造成越界写入。官方特别提醒，由于溢出发生在验证之前，触发该漏洞无需有效密钥。

受影响版本包括OpenSSL 3.0至3.6的多个分支，OpenSSL 1.1.1与1.0.2不受此漏洞影响。官方同时表示，FIPS模块不受影响，原因是CMS实现不在FIPS模块边界内。

OpenSSL指出，任何解析不可信CMS或公钥加密标准PKCS#7内容、并使用AEAD加密算法的服务与应用均可能受影响，例如处理S/MIME AuthEnvelopedData且采用AES-GCM的场景。因此，企业邮件网关或内容扫描服务若自动解析外部传入的S/MIME封装内容，且底层链接至受影响版本，建议列为高优先级修补项目。

修复方面，OpenSSL已在各分支发布安全补丁版本，包括OpenSSL 3.6.1、3.5.5、3.4.4、3.3.6与3.0.19，并在版本发布说明中明确列入该漏洞修复。

用户应先盘点主机与容器镜像中实际使用的OpenSSL函数库版本，并根据所属分支升级至对应补丁版本。因为许多应用程序即使完成自身更新，运行时仍会动态加载系统或镜像中的libssl与libcrypto，若底层函数库未同步更新，补丁可能无效。

其他修补漏洞

除CVE-2025-15467外，本次更新还一并修补了多项风险较低或受使用场景限制的漏洞，包括中等风险的CVE-2025-11187，以及多个主要影响为拒绝服务的低风险问题。其中CVE-2025-11187的修复重点在于验证PKCS#12文件的PBMAC1参数时缺乏完整校验，可能导致MAC验证流程中触发栈缓冲区溢出或指针相关错误，引发服务崩溃。官方指出，PKCS#12通常用于存储私钥与证书，实际使用中多为内部生成与管理，应用程序直接接收不可信PKCS#12文件的场景较少，因此整体评估为中等风险。