OpenSSL多个安全漏洞通告
2022-5-17 18:17:58 Author: blog.nsfocus.net(查看原文) 阅读量:75 收藏

阅读: 6

一、漏洞概述

近日,绿盟科技CERT监测发现OpenSSL发布安全通告,修复了OpenSSL 产品中的多个安全漏洞。OpenSSL 是一个开放源代码的软件库包。应用程序可以使用这个包来进行安全通信、避免窃听,同时确认另一端连接者的身份,广泛被应用在互联网的网页服务器上。请相关用户采取措施进行防护。

OpenSSL远程代码执行漏洞(CVE-2022-1292):

由于c_rehash 脚本未能正确清理shell元字符的问题,且某些操作系统会以自动执行的方式分发此脚本。未经身份验证的攻击者可使用脚本构造恶意数据包触发该漏洞,从而实现在目标系统上执行任意系统命令。

Openssl 证书认证错误漏洞(CVE-2022-1343)

由于 OCSP_basic_verify 函数验证部分证书存在错误,未授权的攻击者可利用该漏洞构造恶意数据进行证书欺骗攻击,从而实现非法响应签名证书验证成功。

OpenSSL拒绝服务漏洞(CVE-2022-1473):

由于OPENSSL_LH_flush() 函数存在缺陷,当一个长期存在的进程定期解码证书或密钥时,内存的使用量将被无限扩展。未经身份验证的攻击者可通过构造恶意数据包触发该漏洞,从而导致服务器崩溃实现拒绝服务。

Openssl 加密错误漏洞(CVE-2


文章来源: http://blog.nsfocus.net/openssl-n/
如有侵权请联系:admin#unsafe.sh