OpenSSL 命令注入漏洞(CVE-2022-1292)安全风险通告

admin
admin
admin
137996
文章
113
评论
2022年5月19日19:20:48评论609 views字数 1989阅读6分37秒阅读模式
OpenSSL 命令注入漏洞(CVE-2022-1292)安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



近日,奇安信CERT监测到OpenSSL官方发布OpenSSL命令注入漏洞(CVE-2022-1292)通告。该漏洞由于c_rehash脚本未对外部可控数据进行有效过滤,导致可操作/etc/ssl/certs/目录的攻击者注入恶意命令,从而以该脚本的权限执行任意命令。目前,官方已发布可更新版本,建议客户尽快做好自查,及时更新至最新版本。
漏洞名称
OpenSSL命令注入漏洞
公开时间
2022-05-03
更新时间
2022-05-18
CVE编号
CVE-2022-1292
其他编号
QVD-2022-6333
威胁类型

命令执行
技术类型
命令注入
厂商
OpenSSL
产品
OpenSSL
风险等级
奇安信CERT风险评级
风险等级
中危
蓝色(一般事件)
现时威胁状态
POC状态
EXP状态
在野利用状态
技术细节状态
未知
未知
未知
未知

漏洞描述

由于c_rehash脚本未对外部可控数据进行有效过滤,导致可操作/etc/ssl/certs/目录的攻击者注入恶意命令,从而以该脚本的权限执行任意命令。

影响版本

OpenSSL 1.0.2

OpenSSL 1.1.1

OpenSSL 3.x

不受影响版本

OpenSSL 1.0.2 >= 1.0.2ze (仅针对高级用户)

OpenSSL 1.1.1 >= 1.1.1o

OpenSSL 3.0 >= 3.0.3

其他受影响组件

  • 影响Red Hat Advanced   Cluster Management for Kubernetes 2中rhacm2/management-ingress-rhel7组件、Red Hat JBoss Web   Server 5中OpenSSL组件,详情请参照:

https://access.redhat.com/security/cve/CVE-2022-1292

  • 影响Debian 9 OpenSSL < 1.1.0l-1~deb9u6版本,详情请参照:

https://lists.debian.org/debian-lts-announce/2022/05/msg00019.html

奇安信CERT已成功复现OpenSSL命令注入漏洞(CVE-2022-1292),截图如下:

OpenSSL 命令注入漏洞(CVE-2022-1292)安全风险通告


风险等级

奇安信 CERT风险评级为:中危

风险等级:蓝色(一般事件)



威胁评估

漏洞名称
OpenSSL命令注入漏洞
CVE编号
CVE-2022-1292
其他编号
QVD-2022-6333
CVSS 3.1评级
中危
CVSS 3.1分数
6.3
CVSS向量
访问途径(AV
攻击复杂度(AC
网络
所需权限(PR
用户交互(UI
不需要
影响范围(S
机密性影响(C
不变
完整性影响(I
可用性影响(A
危害描述

由于c_rehash脚本未对外部可控数据进行有效过滤,导致可操作/etc/ssl/certs/目录的攻击者注入恶意命令,从而以该脚本的权限执行任意命令。


处置建议

目前,官方已发布可更新版本,用户可升级OpenSSL版本:

OpenSSL 1.0.2 升级至 1.0.2ze (仅针对高级用户);
OpenSSL 1.1.1 升级至 1.1.1o;
OpenSSL 3.0 升级至 3.0.3;

参照:https://www.openssl.org/source/

  • 缓解措施:

c_rehash脚本已被标记为过时,推荐使用OpenSSL rehash代替c_rehash。

  • 自检:

可以通过看系统c_rehash脚本分析是否存在该漏洞,该脚本可以通过whereis命令或者find命令查询位置。
whereis c_rehashsudo find / -name "c_rehash"

查看该脚本是否存在下面四行代码:

$fname =~ s/'/'\''/g;my ($hash, $fprint) = `"$openssl" x509 $x509hash -fingerprint -noout -in "$fname"`;$fname =~ s/'/'\''/g;my ($hash, $fprint) = `"$openssl" crl $crlhash -fingerprint -noout -in '$fname'`;

如果存在这四行代码说明该脚本存在注入漏洞。



参考资料

[1]https://www.openssl.org/news/secadv/20220503.txt

[2]https://lists.debian.org/debian-lts-announce/2022/05/msg00019.html

[3]https://access.redhat.com/security/cve/CVE-2022-1292



时间线

2022年5月19日,奇安信CERT发布安全风险通告。


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

原文始发于微信公众号(奇安信 CERT):OpenSSL 命令注入漏洞(CVE-2022-1292)安全风险通告

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月19日19:20:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   OpenSSL 命令注入漏洞(CVE-2022-1292)安全风险通告https://cn-sec.com/archives/1024450.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息