文章插图
漏洞描述
近日,亚信安全CERT监测发现OpenSSL存在多个高危漏洞,漏洞编号分别为CVE-2022-1292和CVE-2022-1473 。
CVE-2022-1292为OpenSSL代码执行漏洞,漏洞源于c_rehash脚本没有正确清理shell元字符以防止命令注入 。该脚本由一些运营商分发系统以自动执行的方式 。在易受攻击的操作系统中,攻击者利用此漏洞可使用脚本的权限执行任意命令 。
CVE-2022-1473为OpenSSL拒绝服务漏洞,漏洞源于清空哈希表的OPENSSL_LH_flush()函数包含破坏已删除哈希占用的内存重用的错误表条目 。此功能在解码证书或密钥时使用,如果一个长期存在的进程定期解码证书或密钥,它的内存使用量将无限扩大,并且该进程可能会被操作系统终止,从而导致拒绝服务 。攻击者利用此漏洞可实施远程拒绝服务 。
OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份 。这个包广泛被应用在互联网的网页服务器上 。作为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用 。
漏洞编号
- CVE-2022-1292
- CVE-2022-1473
- CVE-2022-1292 9.0
- CVE-2022-1473 8.0
漏洞细节 公开
漏洞PoC 未知
漏洞EXP 未知
在野利用 未知
受影响的版本
- CVE-2022-1292 OpenSSL代码执行漏洞
OpenSSL:1.0.2、1.1.1 和 3.0
- 【OpenSSL多个高危漏洞预警】CVE-2022-1473 OpenSSL拒绝服务漏洞
OpenSSL :3.0
※CVE-2022-1292 OpenSSL代码执行漏洞
- OpenSSL 1.0.2 用户应升级到 1.0.2ze(仅限高级支持客户)
- OpenSSL 1.1.1 用户应升级到 1.1.1o
- OpenSSL 3.0 用户应升级到 3.0.3
https://github.com/openssl/openssl/tags
※CVE-2022-1473 OpenSSL拒绝服务漏洞
- OpenSSL 3.0 用户应升级到 3.0.3
https://github.com/openssl/openssl/tags
参考链接
- https://github.com/openssl/openssl/tags
- https://www.openssl.org/news/secadv/20220503.txt
- https://git.openssl.org/gitweb/p=openssl.git;a=commitdiff;h=1ad73b4d27bd8c1b369a3cd453681d3a4f1bb9b2
- https://git.openssl.org/gitweb/p=openssl.git;a=commitdiff;h=548d3f280a6e737673f5b61fce24bb100108dfeb
推荐阅读
- 一个微信分成多个微信同时登录的小技巧
- 怎么把多个图片拼接到一起?如何将多张图片拼在一起_1
- 闹钟|小伙为起床设多个闹钟引焦虑 医生:这是一种病
- 多个相同excel批量处理?excel同时操作多个工作表
- 怎么把多个图片拼接到一起?如何将多张图片拼在一起
- 军人|200多个编制!眉山市启动2季度事业单位公招,设退役军人专项岗
- 批量剪辑视频,如何把多个视频分别保存在不同文件夹中
- 怎么对多个表格的数据进行汇总?表格内多个excel 汇总
- 怎么将多个word文档合并成一个文档,怎么样将多个word文档合并为一个-
- 如何把多个单元格数字合并在同一个单元格?如何把多个单元格的数字合并到一个单元格