【高危安全通告】OpenSSL RSA远程代码执行漏洞

admin 2022年7月12日01:06:05安全漏洞评论12 views1486字阅读4分57秒阅读模式

↑ 点击上方 关注我们


安全狗应急响应中心监测到OpenSSL官方发布安全通告,披露了OpenSSL RSA远程代码执行漏洞通告,漏洞编号CVE-2022-2274。



漏洞描述


OpenSSL是Openssl团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。


OpenSSL RSA组件中存在一处堆溢出漏洞,攻击者可以通过精心构造tls认证请求或其他认证行为来触发该漏洞,并可能导致远程代码执行。OpenSSL组件是*nix系统中底层用于加解密、身份认证的底层库。


该漏洞有如下限制,(以下为并列条件)

-使用RSA算法,私钥长度2048bit

-CPU架构为AVX512IFMA(常见为intel的x86桌面处理器)

但上述情况是主流*nix服务器的默认配置,需要特别注意

在满足上述条件的服务器上执行以下行为可能受到该漏洞影响

-ssh认证

-tls认证

-文件签名认证



安全通告信息


漏洞名称

OpenSSL RSA远程代码执行漏洞

漏洞影响版本

OpenSSL<=3.0.4

注:安全版本3.0.5、1.1.1、1.0.2

漏洞危害等级

高危

厂商是否已发布漏洞补丁

版本更新地址

https://github.com/openssl/openssl/releases/tag/openssl-3.0.5

安全狗总预警期数

235

安全狗发布预警日期

202276

安全狗更新预警日期

202276

发布者

安全狗海青实验室


官方安全建议


安全建议

官方已发布漏洞补丁及修复版本,酌情升级至安全版本

注:安全版本3.0.5、1.1.1、1.0.2

【备注】:建议您在升级前做好数据备份工作,避免出现意外


临时解决方案

对正在运行的程序进行停止,并加入额外的环境变量export OPENSSL_ia32cap=:~0x200000后重启。值得注意的是使用OpenSSL 1.1.1/1.0.2的用户不受到该漏洞影响,这意味着常规Linux发行版例如CentOS、Debain、Ubuntu在安装系统原生软件包时不会受到影响。


参考连接

https://github.com/openssl/openssl/issues/18625

https://www.openssl.org/news/secadv/20220705.txt



安全狗产品解决方案


若想了解更多安全狗产品信息或有相关业务需求,可前往安全狗官网了解:https://www.safedog.cn/



01

云眼·新一代(云)主机入侵检测及安全管理系统


安全狗采用先进的端点检测及响应(EDR)技术模型、自适应安全架构及ATT&CK在Server EDR中的应用相结合的理念,构建的新一代(云)主机入侵监测及安全管理系统,可解决私有云、混合云中主机安全监测及防护问题。

02

云御·新一代混合式web应用防护系统


云御是一款新一代混合式Web防火墙产品,通过网络层过滤和主机应用层自保护(RASP)相结合的技术,既能够过滤传统常见的攻击又可以对异常变形和未知漏洞的高级攻击进行识别,达到双层纵深防御的效果。

03

云网·(云)主机漏洞发现及补丁修复系统


安全狗云网·发现及补丁修复系统可以为用户构建属于自己的补丁大数据仓库,用于修补可能导致安全薄弱、破坏关键系统数据或导致系统不可用的漏洞。云网不仅可以进行补丁部署,还可扫描网络漏洞、识别缺失的安全补丁和修补程序,并立即部署以降低网络空间风险。





原文始发于微信公众号(海青安全研究实验室):【高危安全通告】OpenSSL RSA远程代码执行漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月12日01:06:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【高危安全通告】OpenSSL RSA远程代码执行漏洞 http://cn-sec.com/archives/1161764.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: