01
漏洞描述
OpenSSL是Openssl团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。
OpenSSL存在远程代码执行漏洞,该漏洞源于c_rehash脚本未正确清理shell元字符。攻击者利用该漏洞执行任意命令。
02
漏洞危害
c_rehash 脚本未正确清理 shell 元字符以防止命令注入。此脚本由某些操作系统以自动执行的方式分发。在这样的操作系统上,攻击者可以使用脚本的权限执行任意命令。使用 c_rehash 脚本被认为是过时的,应该由 OpenSSL rehash 命令行工具代替。在 OpenSSL 3.0.3 中修复(受影响的 3.0.0、3.0.1、3.0.2)。在 OpenSSL 1.1.1o 中修复(受影响的 1.1.1-1.1.1n)。在 OpenSSL 1.0.2ze 中修复(受影响的 1.0.2-1.0.2zd)。
03
影响范围
Openssl OpenSSL 3.0.0
Openssl OpenSSL 3.0.1
Openssl OpenSSL 3.0.2
Openssl OpenSSL >=1.1.1,<=1.1.1n
Openssl OpenSSL >=1.0.2,<=1.0.2zd
04
漏洞等级
高危
06
修复方案
厂商已发布升级修复漏洞,用户请尽快更新至安全版本。
引用:
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=1ad73b4d27bd8c1b369a3cd453681d3a4f1bb9b2
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】OpenSSL远程代码执行漏洞(CVE-2022-1292)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论