【漏洞通告】OpenSSL RSA 远程代码执行漏洞(CVE-2022-2274)

admin
admin
admin
138717
文章
114
评论
2022年7月8日04:08:07评论62 views字数 631阅读2分6秒阅读模式

漏洞概述


美创安全实验室监测到OpenSSL 组件存在代码执行漏洞。漏洞编号:CVE-2022-2274,漏洞等级:严重。

该漏洞是由于 OpenSSL 3.0.4 版本在支持 AVX512IFMA 指令的 X86_64 CPU RSA 实现中引入了一个严重错误导致了内存损坏,攻击者利用该漏洞可能会在执行计算的机器上触发远程代码执行。

目前,OpenSSL官方已发布新版本修复了漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。


影响范围


目前受影响的 OpenSSL 版本:
OpenSSL ≤ 3.0.4

OpenSSL 1.1.1,OpenSSL 1.0.2 不受此漏洞影响


处置建议


1.如何检测组件系统版本

在终端执行以下命令:

openssl version

即可查看当前OpenSSL 版本。


2.官方修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

http://openssl.org/


3.临时修补建议

若无法及时升级可以尝试以下解决方案:

对正在运行的程序进行停止,并加入额外的环境变量export OPENSSL_ia32cap=:~0x200000后重启。


值得注意的是使用 OpenSSL 1.1.1/ OpenSSL1.0.2 的用户不受到该漏洞影响,这意味着常规 Linux 发行版例如 CentOS、Debain、Ubuntu 在安装系统原生软件包时不会受到影响。

【漏洞通告】OpenSSL RSA 远程代码执行漏洞(CVE-2022-2274)


【漏洞通告】OpenSSL RSA 远程代码执行漏洞(CVE-2022-2274)

原文始发于微信公众号(第59号):【漏洞通告】OpenSSL RSA 远程代码执行漏洞(CVE-2022-2274)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月8日04:08:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】OpenSSL RSA 远程代码执行漏洞(CVE-2022-2274)https://cn-sec.com/archives/1164506.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息