漏洞综述
■ 漏洞背景
OpenSSL是一个开放源代码的安全套接字层密码库包,囊括主要的密码算法、常用密钥、证书封装管理功能及实现ssl协议。应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份,这个包被广泛应用在互联网的网页及应用服务器上。近日,飓风安全监测到OpenSSL官方发布安全更新公告,修复了在OpenSSL中的一个缓冲区溢出漏洞(CVE-2022-2274)。飓风安全建议用户更新OpenSSL到最新的安全版本避免遭受攻击。
■ 漏洞描述
该漏洞是由于OpenSSL 3.0.4 版本在支持 AVX512IFMA 指令的 X86_64 CPU 的 主机上,其在实现RSA的过程中引入了一个严重错误,导致未能正确实现使用2048位私钥的RSA算法,并且在此过程中存在内存损坏问题,恶意攻击者能够利用该漏洞在目标主机触发远程代码执行。
■ 影响范围
OpenSSL 3.0.4
漏洞等级:高危
处置方法
■ 官方补丁
查看系统版本是否在受影响版本内命令:openssl version
OpenSSL官方已经在新版本中修复该漏洞,请升级至OpenSSL3.0.5版本:
下载链接:
https://github.com/openssl/openssl/releases/tag/openssl-3.0.5
原文始发于微信公众号(飓风网络安全):【漏洞通告】OpenSSL远程代码执行漏洞通告(CVE-2022-2274)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论