获取到的关键漏洞信息如下: 漏洞信息 RSA Private Key 侧信道攻击漏洞 - 修复了一个在模幂运算中的侧信道漏洞,可能会泄露安全封装中使用的RSA私钥。 - 发现者:Sangho Lee、Ming-Wei Shih、Prasun Gera、Taesoo Kim和Hyesoon Kim(乔治亚理工学院)和Marcus Peinado(微软研究院)。 - 报告者:Raoul Strackx (Fortanix)。 - 相关issue:#3394。 ECC Private Key 侧信道攻击漏洞 - 修复了在调用 和 / (当加载一个不包含未压缩公钥的私钥时)以及 / (当以NULL f_rng参数调用时)中的侧信道漏洞。 - 拥有足够精确的定时和内存访问信息(通常是不受信任的操作系统攻击安全封装)的攻击者可以完全恢复 ECC 私钥。 - 发现和报告者:Alejandro Cabrera Aldaya和Billy Brumley。 Lucky 13 反措施失效 - 修复了在使用硬件加速器(使用MBEDTLS_SHAxxx_ALT宏之一)时,Lucky 13反措施失效的问题,可能导致攻击者在某些配置下恢复明文。 - 报告和建议修复方案者:Luc Perneel。 - 相关issue:#3246。 其他修复信息 固定了多个代码错误、未定义行为和潜在的内存泄漏等问题。 移除了死代码和未使用的宏。 更新了加速度计模块和其他组件的行为以防止安全问题。 修复了编译器警告和错误路径处理等问题。 推荐更新 建议所有受影响的用户更新到此版本以利用其中包含的漏洞修复,在其开发周期中的合适时间点进行更新。