【安全公告】Openssl 多个漏洞通告

admin 2022年5月13日21:39:33评论146 views字数 1550阅读5分10秒阅读模式

漏洞名称

Openssl 多个漏洞

组件名称

Openssl

安全公告链接

https://mta.openssl.org/pipermail/openssl-announce/2022-May/000224.html


漏洞分析


组件介绍

OpenSSL 是一个开放源代码的软件库包。应用程序可以使用这个包来进行安全通信、避免窃听,同时确认另一端连接者的身份,广泛被应用在互联网的网页服务器上。


2 漏洞描述

近日,深信服安全团队监测到一则Openssl官方发布安全更新的通告,共修复了4个安全漏洞


【安全公告】Openssl 多个漏洞通告


Openssl 远程代码执行漏洞 CVE-2022-1292

该漏洞源于c_rehash 脚本未正确清理 shell 元字符导致命令注入,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行系统命令注入攻击,最终造成远程代码执行。


Openssl 证书认证错误漏洞 CVE-2022-1343

该漏洞是由于 OCSP_basic_verify 函数验证部分证书存在错误,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行证书欺骗攻击,最终导致非法响应签名证书验证成功。


Openssl 加密错误漏洞 CVE-2022-1434

该漏洞是由于 RC4-MD5 密码套件的 OpenSSL 3.0 实现错误地使用了AAD 数据作为 MAC 密钥。这使得 MAC 密钥可以被预测。攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行中间人攻击,最终控制通信的进行(但是攻击者无法对数据进行解密)。


Openssl 内存泄露拒绝服务漏洞 CVE-2022-1473 

该漏洞是由于 OPENSSL_LH_flush() 函数包含一个错误,解码证书时内存使用量将无限扩展,进程可能会被终止而导致拒绝服务,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行拒绝服务攻击,最终造成拒绝服务。


影响范围


Openssl 广泛用于各类服务器的加密通信套件,由于其跨平台和支持多样化算法的性质被广泛使用。可能受漏洞影响的资产广泛分布于世界各地,此次曝出的漏洞虽然是中危漏洞,但是涉及用户量大,导致漏洞影响力很大。


解决方案

如何检测组件系统版本

在命令行中执行命令

openssl version

即可显示当前 Openssl 版本


2 官方修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://github.com/openssl/openssl/tags


打补丁/升级方法:

下载并安装最新版 OpenSSL 即可


3 深信服解决方案

  1. 主动检测

支持对 Openssl 远程代码执行漏洞(CVE-2022-1292)、Openssl 证书认证错误漏洞(CVE-2022-1343)、Openssl 加密错误漏洞(CVE-2022-1434)、Openssl 内存泄露拒绝服务漏洞(CVE-2022-1473)的主动检测,可批量快速检出业务场景中该事件的受影响资产情况,相关产品如下:

【深信服安全云眼CloudEye】预计2022年5月16日发布解决方案。

【深信服云镜YJ】预计2022年5月16日发布解决方案。


参考链接


https://mta.openssl.org/pipermail/openssl-announce/2022-May/000224.html


时间轴


2022/5/13  深信服监测到 Openssl 官方发布安全补丁。

2022/5/13  深信服千里目安全实验室发布漏洞通告。



点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

【安全公告】Openssl 多个漏洞通告


深信服千里目安全实验室

【安全公告】Openssl 多个漏洞通告

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们





原文始发于微信公众号(深信服千里目安全实验室):【安全公告】Openssl 多个漏洞通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月13日21:39:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【安全公告】Openssl 多个漏洞通告http://cn-sec.com/archives/1006258.html

发表评论

匿名网友 填写信息