【漏洞通告】OpenSSL远程代码执行漏洞通告(CVE-2022-2274)

admin 2022年7月8日17:15:23评论234 views字数 601阅读2分0秒阅读模式

漏洞综述 


■ 漏洞背景

OpenSSL是一个开放源代码的安全套接字层密码库包,囊括主要的密码算法、常用密钥、证书封装管理功能及实现ssl协议。应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份,这个包被广泛应用在互联网的网页及应用服务器上。近日,飓风安全监测到OpenSSL官方发布安全更新公告,修复了在OpenSSL中的一个缓冲区溢出漏洞(CVE-2022-2274)。飓风安全建议用户更新OpenSSL到最新的安全版本避免遭受攻击。

【漏洞通告】OpenSSL远程代码执行漏洞通告(CVE-2022-2274)


■ 漏洞描述

该漏洞是由于OpenSSL 3.0.4 版本在支持 AVX512IFMA 指令的 X86_64 CPU 的 主机上,其在实现RSA的过程中引入了一个严重错误,导致未能正确实现使用2048位私钥的RSA算法,并且在此过程中存在内存损坏问题,恶意攻击者能够利用该漏洞在目标主机触发远程代码执行。


■ 影响范围

OpenSSL 3.0.4

漏洞等级:高危


 处置方法 


■ 官方补丁

查看系统版本是否在受影响版本内命令:openssl version

【漏洞通告】OpenSSL远程代码执行漏洞通告(CVE-2022-2274)


OpenSSL官方已经在新版本中修复该漏洞,请升级至OpenSSL3.0.5版本:

下载链接:

https://github.com/openssl/openssl/releases/tag/openssl-3.0.5


原文始发于微信公众号(飓风网络安全):【漏洞通告】OpenSSL远程代码执行漏洞通告(CVE-2022-2274)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月8日17:15:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】OpenSSL远程代码执行漏洞通告(CVE-2022-2274)http://cn-sec.com/archives/1166624.html

发表评论

匿名网友 填写信息