股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
首页(yè) > 安(ān)全通告
安(ān)全通告
警惕!OpenSSL多(duō)个高危漏洞预警
发布时间 :2022年05月17日
分(fēn)享:
漏洞描述
近日,亚信安(ān)全CERT监测发现OpenSSL存在多(duō)个高危漏洞,漏洞编号分(fēn)别為(wèi)CVE-2022-1292和CVE-2022-1473。
CVE-2022-1292為(wèi)OpenSSL代码执行漏洞,漏洞源于c_rehash脚本没有(yǒu)正确清理(lǐ)shell元字符以防止命令注入。该脚本由一些运营商(shāng)分(fēn)发系统以自动执行的方式。在易受攻击的操作(zuò)系统中(zhōng),攻击者利用(yòng)此漏洞可(kě)使用(yòng)脚本的权限执行任意命令。
CVE-2022-1473為(wèi)OpenSSL拒绝服務(wù)漏洞,漏洞源于清空哈希表的OPENSSL_LH_flush()函数包含破坏已删除哈希占用(yòng)的内存重用(yòng)的错误表条目。此功能(néng)在解码证书或密钥时使用(yòng),如果一个長(cháng)期存在的进程定期解码证书或密钥,它的内存使用(yòng)量将无限扩大,并且该进程可(kě)能(néng)会被操作(zuò)系统终止,从而导致拒绝服務(wù)。攻击者利用(yòng)此漏洞可(kě)实施遠(yuǎn)程拒绝服務(wù)。
OpenSSL是一个开放源代码的软件库包,应用(yòng)程序可(kě)以使用(yòng)这个包来进行安(ān)全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用(yòng)在互联网的网页(yè)服務(wù)器上。作(zuò)為(wèi)一个基于密码學(xué)的安(ān)全开发包,OpenSSL提供的功能(néng)相当强大和全面,囊括了主要的密码算法、常用(yòng)的密钥和证书封装(zhuāng)管理(lǐ)功能(néng)以及SSL协议,并提供了丰富的应用(yòng)程序供测试或其它目的使用(yòng)。
漏洞编号
CVE-2022-1292
CVE-2022-1473
漏洞评分(fēn)
CVE-2022-1292 9.0
CVE-2022-1473 8.0
漏洞状态
漏洞细节 | 漏洞PoC | 漏洞EXP | 在野利用(yòng) |
公(gōng)开 | 未知 | 未知 | 未知 |
受影响的版本
CVE-2022-1292 OpenSSL代码执行漏洞
OpenSSL:1.0.2、1.1.1 和 3.0
CVE-2022-1473 OpenSSL拒绝服務(wù)漏洞
OpenSSL :3.0
修复建议
※CVE-2022-1292 OpenSSL代码执行漏洞
OpenSSL 1.0.2 用(yòng)户应升级到 1.0.2ze(仅限高级支持客户)
OpenSSL 1.1.1 用(yòng)户应升级到 1.1.1o
OpenSSL 3.0 用(yòng)户应升级到 3.0.3
下载地址:https://github.com/openssl/openssl/tags
※CVE-2022-1473 OpenSSL拒绝服務(wù)漏洞
OpenSSL 3.0 用(yòng)户应升级到 3.0.3
下载地址:https://github.com/openssl/openssl/tags
参考链接
https://github.com/openssl/openssl/tags
https://www.openssl.org/news/secadv/20220503.txt
https://git.openssl.org/gitweb/p=openssl.git;a=commitdiff;h=1ad73b4d27bd8c1b369a3cd453681d3a4f1bb9b2
https://git.openssl.org/gitweb/p=openssl.git;a=commitdiff;h=548d3f280a6e737673f5b61fce24bb100108dfeb
分(fēn)享到微信
X