OpenSSL多个安全漏洞安全通告

admin
admin
admin
138733
文章
114
评论
2022年5月17日11:33:43评论245 views字数 939阅读3分7秒阅读模式

OpenSSL多个安全漏洞安全通告

近日,沈阳网络安全协会信息通报机制合作单位新华三集团(H3C)提醒,OpenSSL官方发布安全更新公告,其中包含两个中危漏洞(CVE-2022-1292、CVE-2022-1343)。新华三攻防实验室建议用户更新OpenSSL到最新的安全版本避免遭受攻击利用。

1漏洞综述

1.1 漏洞背景

OpenSSL是一个开放源代码的安全套接字层密码库包,囊括主要的密码算法、常用密钥、证书封装管理功能及实现ssl协议。应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页及应用服务器上。

1.2 漏洞原理

1、OpenSSL命令注入漏洞 (CVE-2022-1292)
该漏洞由于c_rehash脚本没有正确清理shell元字符导致命令注入,恶意攻击者可以利用该漏洞在未授权的情况下执行命令注入攻击,最终导致任意代码执行。
严重级别:中危
2、OpenSSL证书认证错误漏洞 (CVE-2022-1343)
该漏洞由于OCSP_basic_verify函数在验证某些签名证书时存在错误,恶意攻击者可利用该漏洞在未授权的情况下执行证书欺骗攻击,最终导致非法响应签名证书验证成功。 
严重级别:中危


2影响范围

漏洞名称

漏洞编码

严重级别

OpenSSL影响版本


OpenSSL命令注入漏洞


CVE-2022-1292


中危

OpenSSL 1.0.2-1.0.2zd

OpenSSL 1.1.1-1.1.1n

OpenSSL 3.0.0、3.0.1、3.0.2

OpenSSL证书认证错误漏洞

CVE-2022-1343

中危

OpenSSL 3.0.0、3.0.1、3.0.2

OpenSSL加密错误漏洞

CVE-2022-1434

低危

OpenSSL 3.0.0、3.0.1、3.0.2

OpenSSL拒绝服务漏洞

CVE-2022-1473

低危

OpenSSL 3.0.0、3.0.1、3.0.2


3处置方法

3.1 官方补丁

查看系统版本是否在受影响版本内命令:openssl version

OpenSSL多个安全漏洞安全通告

OpenSSL官方已经在新版本中修复该漏洞,请升级至OpenSSL的安全版本:

下载链接:

https://www.openssl.org/source

OpenSSL多个安全漏洞安全通告

原文始发于微信公众号(沈阳网络安全协会):OpenSSL多个安全漏洞安全通告

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月17日11:33:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   OpenSSL多个安全漏洞安全通告https://cn-sec.com/archives/1014023.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息