一、漏洞详情
openssl是用于传输层安全 (tls) 协议的开源工具包,用于通用加密和安全通信。
近日,openssl项目发布安全公告,openssl存在多个安全漏洞,编号分别为cve-2022-1292和cve-2022-1473。
cve-2022-1292为openssl代码执行漏洞,漏洞源于c_rehash脚本没有正确清理shell元字符以防止命令注入。该脚本由一些运营商分发系统以自动执行的方式。在易受攻击的操作系统中,攻击者利用此漏洞可使用脚本的权限执行任意命令。
cve-2022-1473为openssl拒绝服务漏洞,漏洞源于清空哈希表的openssl_lh_flush()函数包含破坏已删除哈希占用的内存重用的错误表条目。此功能在解码证书或密钥时使用,如果一个长期存在的进程定期解码证书或密钥,它的内存使用量将无限扩大,并且该进程可能会被操作系统终止,从而导致拒绝服务。攻击者利用此漏洞可实施远程拒绝服务。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
cve-2022-1292 openssl代码执行漏洞:openssl:1.0.2、1.1.1 和 3.0
cve-2022-1473 openssl拒绝服务漏洞:openssl :3.0
三、修复建议
cve-2022-1292 openssl代码执行漏洞:
openssl 1.0.2 用户应升级到 1.0.2ze(仅限高级支持客户)
openssl 1.1.1 用户应升级到 1.1.1o
openssl 3.0 用户应升级到 3.0.3
下载地址:https://github.com/openssl/openssl/tags
cve-2022-1473 openssl拒绝服务漏洞:
openssl 3.0 用户应升级到 3.0.3
下载地址:https://github.com/openssl/openssl/tags
