一、漏洞详情
OpenSSL是用于传输层安全 (TLS) 协议的强大、商业级、功能齐全的开源工具包,用于通用加密和安全通信。
近日,OpenSSL项目发布安全公告,OpenSSL存在多个安全漏洞,漏洞编号分别为CVE-2022-1292和CVE-2022-1473。
CVE-2022-1292为OpenSSL代码执行漏洞,漏洞源于c_rehash脚本没有正确清理shell元字符以防止命令注入。该脚本由一些运营商分发系统以自动执行的方式。在易受攻击的操作系统中,攻击者利用此漏洞可使用脚本的权限执行任意命令。
CVE-2022-1473为OpenSSL拒绝服务漏洞,漏洞源于清空哈希表的OPENSSL_LH_flush()函数包含破坏已删除哈希占用的内存重用的错误表条目。此功能在解码证书或密钥时使用,如果一个长期存在的进程定期解码证书或密钥,它的内存使用量将无限扩大,并且该进程可能会被操作系统终止,从而导致拒绝服务。攻击者利用此漏洞可实施远程拒绝服务。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
CVE-2022-1292 OpenSSL代码执行漏洞:OpenSSL:1.0.2、1.1.1 和 3.0
CVE-2022-1473 OpenSSL拒绝服务漏洞:OpenSSL :3.0
三、修复建议
CVE-2022-1292 OpenSSL代码执行漏洞:
OpenSSL 1.0.2 用户应升级到 1.0.2ze(仅限高级支持客户)
OpenSSL 1.1.1 用户应升级到 1.1.1o
OpenSSL 3.0 用户应升级到 3.0.3
下载地址:https://github.com/openssl/openssl/tags
CVE-2022-1473 OpenSSL拒绝服务漏洞:
OpenSSL 3.0 用户应升级到 3.0.3
下载地址:https://github.com/openssl/openssl/tags
