阅读: 6
一、漏洞概述
近日,绿盟科技CERT监测发现OpenSSL发布安全通告,修复了OpenSSL 产品中的多个安全漏洞。OpenSSL 是一个开放源代码的软件库包。应用程序可以使用这个包来进行安全通信、避免窃听,同时确认另一端连接者的身份,广泛被应用在互联网的网页服务器上。请相关用户采取措施进行防护。
OpenSSL远程代码执行漏洞(CVE-2022-1292):
由于c_rehash 脚本未能正确清理shell元字符的问题,且某些操作系统会以自动执行的方式分发此脚本。未经身份验证的攻击者可使用脚本构造恶意数据包触发该漏洞,从而实现在目标系统上执行任意系统命令。
Openssl 证书认证错误漏洞(CVE-2022-1343)
由于 OCSP_basic_verify 函数验证部分证书存在错误,未授权的攻击者可利用该漏洞构造恶意数据进行证书欺骗攻击,从而实现非法响应签名证书验证成功。
OpenSSL拒绝服务漏洞(CVE-2022-1473):
由于OPENSSL_LH_flush() 函数存在缺陷,当一个长期存在的进程定期解码证书或密钥时,内存的使用量将被无限扩展。未经身份验证的攻击者可通过构造恶意数据包触发该漏洞,从而导致服务器崩溃实现拒绝服务。
Openssl 加密错误漏洞(CVE-2