OpenSSL曝出2个远程代码执行高危安全漏洞,已发布安全补丁

(仅在IN)OpenSL释放2个新的高度漏洞的补丁程序

OpenSSL曝出2个高危漏洞,这些漏洞可能导致拒绝服务 (DoS) 和远程代码执行,目前项目方已紧急推出修复程序。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,该两个高危漏洞的漏洞号为 CVE-2022-3602 和 CVE-2022-3786,属于缓冲区溢出漏洞,可以通过提供特制的电子邮件地址在 X.509 证书验证期间触发。

在 TLS 客户端中,这可以通过连接到恶意服务器来触发,在 TLS 服务器中,如果服务器请求客户端身份验证并且恶意客户端连接,则可以触发此操作。

OpenSSL 是用于安全通信的 SSL 和 TLS 协议的开源实现,并被集成到多个操作系统和广泛的软件中。该库的 3.0.0 至 3.0.6 版本受到本次高危漏洞的影响,该漏洞已在 3.0.7 版本中得到修复。值得注意的是,通常部署的 OpenSSL 1.x 版本并不容易受到攻击。

虽然 CVE-2022-3602 最初被视为严重漏洞,但其严重性已被降级为高,理由是现代平台中的堆栈溢出保护。OpenSSL 项目进一步指出,这些漏洞是在 OpenSSL 3.0.0 中作为punycode解码功能的一部分引入的,该功能目前用于处理 X.509 证书中的电子邮件地址名称约束。

网络安全研究人员表示,该漏洞的可利用性非常有限,因为漏洞发生在证书验证之后,并且需要 CA 签署恶意证书或让应用程序继续进行证书验证,尽管未能构建通向受信任颁发者的路径。

具体而言,配置为相互身份验证的实现,其中客户端和服务器都提供 OpenSSL 提供的身份验证证书,肯定应该快速跟踪此更新。

新的 OpenSSL 漏洞不会影响证书的颁发或使用,没有组织需要基于此漏洞撤销或重新颁发证书。

OpenSSL 解决的最后一个严重漏洞是在 2016 年 9 月,当时它关闭了CVE-2016-6309,这是一个释放后使用的错误,可能导致崩溃或执行任意代码。全球有近 240,000 台可公开访问的服务器运行 OpenSSL 版本,这些版本在 Heartbleed 最初发现八年后仍然容易受到攻击。

OpenSSL 软件工具包受到 Heartbleed ( CVE-2014-0160 ) 的影响最为显着,这是 TLS/DTLS 心跳扩展实现中的一个严重内存处理问题,使攻击者能够读取目标服务器的部分内存。

像 OpenSSL 这样的软件库中的一个严重漏洞,它使用如此广泛,对互联网上的数据安全至关重要,任何组织都不能忽视这一漏洞。

OpenSSL 警告说,该漏洞对于没有适当保护措施的系统可能至关重要,理论上会导致在某些架构和平台上远程执行代码。

 

OpenSSL曝出2个远程代码执行高危安全漏洞,已发布安全补丁

极牛网精选文章《OpenSSL曝出2个远程代码执行高危安全漏洞,已发布安全补丁》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/21589.html

(25)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2022年10月31日 上午11:39
下一篇 2022年11月3日 上午11:27

相关推荐

发表回复

登录后才能评论