OpenSSL PKCS#7 驗證中的堆積 Use-After-Free 高危漏洞(CVE-2026-45447)
OpenSSL Security Advisory · 2026-06-11
CVE-2026-45447 是 OpenSSL PKCS7_verify() 函式中的堆積 use-after-free 漏洞,嚴重等級評定為「High」,影響從 1.0.2 到 4.0.0 的多個主要版本。當應用程式呼叫 PKCS7_verify() 驗證 PKCS#7 或 S/MIME 簽署訊息後,若繼續操作原本傳入的 BIO 物件,即可能觸發 use-after-free,導致程序崩潰、堆積損毀,乃至遠端程式碼執行。
漏洞機制
問題根源在於驗證流程中對呼叫端所有之 BIO 物件的不當釋放。當 PKCS#7 SignedData 的 digestAlgorithms 欄位包含空的 ASN.1 SET 時,OpenSSL 在驗證過程中會提前對傳入的 BIO 執行 BIO_free()。後續若呼叫端再次存取該 BIO,便會觸發 use-after-free 條件。攻擊者可透過構造特殊的 PKCS#7 或 S/MIME 訊息誘使應用程式進入此路徑,最差情況下可達任意記憶體寫入。
受影響版本
OpenSSL 1.0.2全系列(修復版本:1.0.2zq)OpenSSL 1.1.1全系列(修復版本:1.1.1zh)OpenSSL 3.0.0–3.0.20(修復版本:3.0.21)OpenSSL 3.4.0–3.4.5(修復版本:3.4.6)OpenSSL 3.5.0–3.5.6(修復版本:3.5.7)OpenSSL 3.6.0–3.6.2(修復版本:3.6.3)OpenSSL 4.0.0(修復版本:4.0.1)
修補與緩解
官方已在各受支援分支釋出修補版本,建議所有使用者依據部署版本升級至對應的修復版本。對於無法立即升級的環境,可暫時避免在 PKCS7_verify() 回呼後繼續使用同一 BIO 物件,或改用更高層的 S/MIME API 並啟用嚴格輸入驗證以降低風險。1.0.2 與 1.1.1 已進入 EOL,建議同步評估遷移至 3.x 以上版本。
FreeBSD kTLS-RX AES-GCM 頁面快取覆寫導致本地提權(CVE-2026-45257)
oss-security · 2026-06-10
CVE-2026-45257 是 FreeBSD 核心 kTLS RX 子系統與 sendfile(2) 互動下產生的本地提權漏洞,影響 FreeBSD 13.0 至 15.0-RELEASE-p5(amd64、arm64、riscv 架構)。無特權的本地使用者可在約 1.5 秒內取得 root 權限,並對磁碟上任意可讀檔案寫入攻擊者控制的內容,即使該檔案設有 immutable 旗標亦無法倖免。
漏洞機制
漏洞由三個核心子系統的不安全組合造成。sendfile(2) 會產生含有頁面快取物理位址的 EXTPG mbuf,而 TCP_RXTLS_ENABLE 缺乏權限檢查,允許無特權使用者以自定義金鑰和 IV 啟用 kTLS RX。當 kTLS RX 就地解密 AES-GCM 資料時,會直接透過核心 DMAP(direct map)對頁面快取的物理頁面寫入明文。攻擊者掌控金鑰流參數且已知目標檔案原始內容,便能精確計算所需輸出位元組並覆寫任意頁面快取內容,繞過所有檔案權限與 immutable 保護。
受影響版本
FreeBSD 13.0、13.1、13.2、13.3、13.4FreeBSD 14.0、14.1、14.2FreeBSD 15.0-RELEASE(含15.0-RELEASE-p5,amd64 驗證)- 不受影響:
FreeBSD 12.x及更早版本
修補與緩解
官方安全公告編號為 FreeBSD-SA-26:26.kTLS,建議盡速套用官方補丁。在補丁釋出前,可透過停用 kTLS RX(避免以非特權使用者啟用 TCP_RXTLS_ENABLE)作為臨時緩解措施;多租戶環境(jail、容器或共享主機)風險尤高,應優先評估升級。此漏洞由研究者於 2026 年 5 月 13 日回報 FreeBSD 安全團隊,6 月 9 日公開揭露。
KVM/arm64 虛擬機逃逸:vGIC-ITS Use-After-Free 導致主機核心執行(CVE-2026-46316)
oss-security(ITScape 研究)· 2026-06-10
CVE-2026-46316 是 Linux KVM/arm64 虛擬中斷控制器(vGIC-ITS)中的雙重釋放/use-after-free 漏洞,允許已滲透的 guest 虛擬機在主機核心層級執行任意程式碼,是首個針對 KVM/arm64 平台的 guest-to-host 逃逸公開研究成果。此漏洞對 ARM64 公有雲多租戶環境的隔離保護構成直接威脅。
漏洞機制
漏洞位於 vgic_its_invalidate_cache() 函式,當多個 vCPU 並行觸發 vGIC-ITS 快取失效時,可引發競爭條件導致核心物件的參考計數異常。錯誤的 put 操作使物件提前釋放,後續存取形成 use-after-free,進而達成堆積損毀與主機核心任意程式碼執行。研究者將此漏洞定位為針對 ARM64 雲端虛擬化環境的高影響攻擊路徑,PoC 目標為 Linux v7.1-rc6(aarch64)。
受影響版本
- Linux 核心含 KVM/arm64 vGIC-ITS 支援之版本(
v7.1-rc6確認受影響) - 主要影響:ARM64 架構上執行 KVM 的多租戶雲端環境
- 不涉及 x86/x86_64 架構(vGIC-ITS 為 ARM 專屬元件)
修補與緩解
主要修補 commit 為 13031fb6b8357fbbcded2a7f4cba73e4781ee594,同時建議套用相關修補 CVE-2026-46317(commit 70543358fa08e0f7cebc3447c3b70fe97ad7aaa8)以全面封堵攻擊面。ARM64 雲端平台業者應立即評估受影響核心版本,確認是否已包含上述 commit;在補丁部署前可考慮停用 vGIC-ITS 功能以降低風險。PoC 中的核心位址為硬式編碼,針對其他版本需重新推導,但不影響漏洞本身的可利用性。