概述
概述
我中心技术支撑单位“神州网云”监测到 OpenSSL 官方发布了一则关于 OpenSSL 存在远程代码执行漏洞的通告(CVE-2022-2274),在 OpenSSL RSA 组件中存在一处致命性漏洞,攻击者可通过精心构造tls 认证请求或其他认证行为来触发该漏洞,导致远程代码执行,从而控制并获取目标服务器。OpenSSL 被用于进行网络传输之间的安全加密通信和身份确认,避免窃听,提供了久经考验的加密功能,是被全球众多网站和电子邮件服务商所广泛采纳的软件库包,已是互联网最重要的基础设施之一。由于此次漏洞利用难度低,涉及范围广,请各地重点行业部门、互联网企业等单位尽快自查服务器的 OpenSSL 版本使用情况,及时升级至安全版本,消除安全隐患,以防遭受黑客攻击。
OpenSSL 是一个开放源代码的软件库包,Web 应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份,被普遍应用在互联网的网页服务器上。OpenSSL 整个软件包大概可以分成三个主要的功能部分:SSL协议库、应用程序以及密码算法库。
漏洞详情
OpenSSL RSA 组件中存在一处堆溢出漏洞,攻击者可以通过精心构造 tls 认证请求来触发该漏洞,并可能导致远程代码执行。该漏洞有如下限制,(以下为并列条件):
- 使用 RSA 算法,私钥长度2048bit。
漏洞名称:OpenSSL 远程代码执行漏洞
漏洞编号:CVE-2022-2274
危害等级:高
影响范围
影响范围
受影响版本
· OpenSSL <= 3.0.4
不受影响版本
· OpenSSL 3.0.5
· OpenSSL 1.1.1
· OpenSSL 1.0.2
解决方案
解决方案
目前,OpenSSL 官方已发布安全版本修复漏洞,根据影响范围中的信息,可自行排查并升级到安全版本:
https://www.openssl.org/source/
使用OpenSSL 1.1.1/1.0.2 的用户不受到该漏洞影响,这意味着常规 Linux 发行版例如 CentOS、Debain、Ubuntu 在安装系统原生软件包时不会受到影响。
[1]https://www.openssl.org/news/secadv/20220705.txt
[2]https://github.com/openssl/openssl/issues/18625
原文始发于微信公众号(广东省网络安全应急响应中心):【漏洞通告】关于 OpenSSL RSA 远程代码执行漏洞的通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论