关于OpenSSL多个安全漏洞的预警提示

时间:2022-05-18 点击数:

一、漏洞详情

OpenSSL是用于传输层安全 (TLS) 协议的强大、商业级、功能齐全的开源工具包,用于通用加密和安全通信。

近日,OpenSSL项目发布安全公告,OpenSSL存在多个安全漏洞,漏洞编号分别为CVE-2022-1292CVE-2022-1473

CVE-2022-1292OpenSSL代码执行漏洞,漏洞源于c_rehash脚本没有正确清理shell元字符以防止命令注入。该脚本由一些运营商分发系统以自动执行的方式。在易受攻击的操作系统中,攻击者利用此漏洞可使用脚本的权限执行任意命令。

CVE-2022-1473OpenSSL拒绝服务漏洞,漏洞源于清空哈希表的OPENSSL_LH_flush()函数包含破坏已删除哈希占用的内存重用的错误表条目。此功能在解码证书或密钥时使用,如果一个长期存在的进程定期解码证书或密钥,它的内存使用量将无限扩大,并且该进程可能会被操作系统终止,从而导致拒绝服务。攻击者利用此漏洞可实施远程拒绝服务。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

CVE-2022-1292 OpenSSL代码执行漏洞:OpenSSL1.0.21.1.1 3.0

CVE-2022-1473 OpenSSL拒绝服务漏洞:OpenSSL :3.0

三、修复建议

CVE-2022-1292 OpenSSL代码执行漏洞:

OpenSSL 1.0.2 用户应升级到 1.0.2ze(仅限高级支持客户)

OpenSSL 1.1.1 用户应升级到 1.1.1o

OpenSSL 3.0 用户应升级到 3.0.3

下载地址:https://github.com/openssl/openssl/tags

 

CVE-2022-1473 OpenSSL拒绝服务漏洞:

OpenSSL 3.0 用户应升级到 3.0.3

下载地址:https://github.com/openssl/openssl/tags

Copyright © 2020-2025 center , All Rights Reserved 版权所有:信息网络中心 苏ICP备1234123号-000 技术支持:信息网络中心