您当前的位置:首页 > 电脑百科 > 安全防护 > 资讯

OpenSSL多个高危漏洞预警

时间:2022-05-18 10:38:02  来源:  作者:亚信安全

警惕!OpenSSL多个高危漏洞预警

漏洞描述

近日,亚信安全CERT监测发现OpenSSL存在多个高危漏洞,漏洞编号分别为CVE-2022-1292和CVE-2022-1473。

 

CVE-2022-1292为OpenSSL代码执行漏洞,漏洞源于c_rehash脚本没有正确清理shell元字符以防止命令注入。该脚本由一些运营商分发系统以自动执行的方式。在易受攻击的操作系统中,攻击者利用此漏洞可使用脚本的权限执行任意命令。

CVE-2022-1473为OpenSSL拒绝服务漏洞,漏洞源于清空哈希表的OPENSSL_LH_flush()函数包含破坏已删除哈希占用的内存重用的错误表条目。此功能在解码证书或密钥时使用,如果一个长期存在的进程定期解码证书或密钥,它的内存使用量将无限扩大,并且该进程可能会被操作系统终止,从而导致拒绝服务。攻击者利用此漏洞可实施远程拒绝服务。

 

OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。作为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。

漏洞编号

  • CVE-2022-1292

  • CVE-2022-1473

漏洞评分

  • CVE-2022-1292 9.0

  • CVE-2022-1473 8.0

漏洞状态

漏洞细节 公开

漏洞PoC 未知

漏洞EXP 未知

在野利用 未知

受影响的版本

  • CVE-2022-1292 OpenSSL代码执行漏洞

    OpenSSL:1.0.2、1.1.1 和 3.0

  • CVE-2022-1473 OpenSSL拒绝服务漏洞

    OpenSSL :3.0

修复建议

CVE-2022-1292 OpenSSL代码执行漏洞

  • OpenSSL 1.0.2 用户应升级到 1.0.2ze(仅限高级支持客户)

  • OpenSSL 1.1.1 用户应升级到 1.1.1o

  • OpenSSL 3.0 用户应升级到 3.0.3

下载地址:
https://Github.com/openssl/openssl/tags

CVE-2022-1473 OpenSSL拒绝服务漏洞

  • OpenSSL 3.0 用户应升级到 3.0.3

下载地址:
https://github.com/openssl/openssl/tags

 

参考链接

  • https://github.com/openssl/openssl/tags

  • https://www.openssl.org/news/secadv/20220503.txt

  • https://git.openssl.org/gitweb/p=openssl.git;a=commitdiff;h=1ad73b4d27bd8c1b369a3cd453681d3a4f1bb9b2

  • https://git.openssl.org/gitweb/p=openssl.git;a=commitdiff;h=548d3f280a6e737673f5b61fce24bb100108dfeb



Tags:高危漏洞   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
Rust 标准库 1.77.2 发布,修复高危漏洞
IT之家 4 月 10 日消息,Rust 的优势之一就是安全,但这并不代表该编程语言就没有漏洞。安全专家近日发现了追踪编号为 CVE-2024-24576 的漏洞,攻击者利用 Rust 标准库中的一个安...【详细内容】
2024-04-10  Search: 高危漏洞  点击:(12)  评论:(0)  加入收藏
Apache再现高危漏洞,已被僵尸网络滥用
介绍Zerobot是一种基于go语言的增强型僵尸网络恶意软件,利用web应用程序漏洞并使用物联网传播自己。微软的研究人员已经监视Zerobot几个月了。Zerobot恶意软件是作为恶意软件...【详细内容】
2022-12-26  Search: 高危漏洞  点击:(396)  评论:(0)  加入收藏
OpenSSL多个高危漏洞预警
漏洞描述近日,亚信安全CERT监测发现OpenSSL存在多个高危漏洞,漏洞编号分别为CVE-2022-1292和CVE-2022-1473。 CVE-2022-1292为OpenSSL代码执行漏洞,漏洞源于c_rehash脚本没有正...【详细内容】
2022-05-18  Search: 高危漏洞  点击:(644)  评论:(0)  加入收藏
【网络安全】关于OracleWeblogic远程代码执行高危漏洞的预警通报
近日,Oracle官方发布2020年7月关键补丁更新,共修复443个危害程度不同的安全漏洞。其中针对 WebLogic Server Core组件的高危漏洞4个,漏洞编号分别为CVE-2020-14625、CVE-2020-1...【详细内容】
2020-07-23  Search: 高危漏洞  点击:(478)  评论:(0)  加入收藏
Dubbo 高危漏洞!原来都是反序列化惹得祸
前言这周收到外部合作同事推送的一篇文章,【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)通告。按照文章披露的漏洞影响范围,可以说是当前所有...【详细内容】
2020-07-09  Search: 高危漏洞  点击:(452)  评论:(0)  加入收藏
▌简易百科推荐
国家安全部:95后“技术宅”遇间谍网络勾连,共享国家级项目数据后次日举报获奖
国家安全部微信公众号3月25日发文介绍一起网勾案件,全文如下:2023年,某高新技术企业的青年设计师阿强,拨打国家安全机关12339举报受理电话称,某科技论坛上一名昵称“暗影Dark”的...【详细内容】
2024-03-25    观察者网  Tags:间谍   点击:(23)  评论:(0)  加入收藏
我国某高新企业遭境外网络勒索攻击,国安部发文谈如何防范
在信息化时代,网络犹如“神经系统”,网络安全出现问题,不仅影响社会稳定与经济发展,也会威胁到国家安全和利益。近年来,日益猖獗的境外网络勒索攻击,已成为我国网络安全“公害”。...【详细内容】
2024-03-21  国家安全部  微信公众号  Tags:网络勒索   点击:(33)  评论:(0)  加入收藏
《2024人工智能安全报告》:2023年AI深度伪造欺诈增长30倍
近日,奇安信集团发布《2024人工智能安全报告》(以下简称《报告》)。《报告》显示,2023年基于AI的深度伪造欺诈增长了3000%,基于AI的钓鱼邮件增长了1000%;目前已发现多个有国家背景的...【详细内容】
2024-03-18    环球网  Tags:人工智能安全   点击:(27)  评论:(0)  加入收藏
1300万次攻击!求职招聘类APP遭黑客攻击 个人信息被泄露
根据最新的央视新闻报道,一款求职招聘类APP的短信验证码接口在近期内遭到了1300多万次的攻击。经警方调查发现,这起事件是由两名嫌疑人所为,他们利用网站漏洞制造黑客软件,并通...【详细内容】
2023-12-11  中关村在线    Tags:黑客攻击   点击:(230)  评论:(0)  加入收藏
应对勒索病毒攻击!全网首个 “远控·勒索急救”功能上线
随着勒索病毒和远程控制软件的攻击事件频发,数据安全和隐私保护方面面临重大挑战。近日,360安全卫士推出了全网首个“远控·勒索急救”功能,旨在提供一个可靠的自行处置...【详细内容】
2023-12-08    大众网  Tags:勒索   点击:(201)  评论:(0)  加入收藏
勒索工行美国分行的LockBit是个什么组织?
来源:冰川思享号撰文丨刘远举11月8日,中国工商银行在美全资子公司——工银金融服务有限责任公司(ICBCFS),受到Lockbit勒索软件组织攻击。虽然ICBCFS表示,发现攻击后立即...【详细内容】
2023-11-26  冰川思享号    Tags:LockBit   点击:(333)  评论:(0)  加入收藏
国家安全部:美国2009年就开始入侵华为总部服务器
中新经纬9月20日电 国家安全部官方微信公众号20日发布《起底美国情报机关网攻窃密的主要卑劣手段》。全文如下:近日,中国国家计算机病毒应急处理中心通报,在处置西北工业大学遭...【详细内容】
2023-09-20    中新经纬  Tags:入侵   点击:(248)  评论:(0)  加入收藏
新证据!网攻西工大的神秘黑客身份被锁定,“间谍软件”是关键!
近日,国家计算机病毒应急处理中心和360公司对一款名为“二次约会”的间谍软件进行了技术分析,分析报告显示,该软件是美国国家安全局(NSA)开发的网络间谍武器。据了解,在国家计算...【详细内容】
2023-09-14    央视新闻客户端  Tags:黑客   点击:(272)  评论:(0)  加入收藏
恶意软件 AMOS 威胁升级:在谷歌搜索投放广告、钓鱼诱骗 Mac 用户安装
IT之家 9 月 7 日消息,网络安全公司 Cyble Research 今年 4 月发布报告,发现有黑客正在兜售针对 macOS 的恶意软件--Atomic macOS Stealer(AMOS)。网络安全公司 Malwarebytes 今...【详细内容】
2023-09-07    IT之家  Tags:恶意软件   点击:(297)  评论:(0)  加入收藏
英国专家:人工智能可通过键盘声窃取密码
《参考消息》日前刊登英国《泰晤士报》网站文章《人工智能可以通过聆听你敲击键盘的声音来窃取密码》,报道摘要如下:来自英国杜伦大学、萨里大学和伦敦大学皇家霍洛韦学院的专...【详细内容】
2023-08-14    新华社  Tags:密码   点击:(185)  评论:(0)  加入收藏
站内最新
栏目相关
  • · 国家安全部:95后“技术宅”遇间谍网络勾连,共享国家级项目数据后次日举报获奖
  • · 我国某高新企业遭境外网络勒索攻击,国安部发文谈如何防范
  • · 《2024人工智能安全报告》:2023年AI深度伪造欺诈增长30倍
  • · 1300万次攻击!求职招聘类APP遭黑客攻击 个人信息被泄露
  • · 应对勒索病毒攻击!全网首个 “远控·勒索急救”功能上线
  • · 勒索工行美国分行的LockBit是个什么组织?
  • · 国家安全部:美国2009年就开始入侵华为总部服务器
  • · 新证据!网攻西工大的神秘黑客身份被锁定,“间谍软件”是关键!
  • · 恶意软件 AMOS 威胁升级:在谷歌搜索投放广告、钓鱼诱骗 Mac 用户安装
  • · 英国专家:人工智能可通过键盘声窃取密码
  • · 数千名黑客齐聚拉斯维加斯 共同“围剿”ChatGPT等AI应用
  • · 大运会正赛期间拦截网络攻击1596万次
  • · 重磅!黑客破解特斯拉自动驾驶套餐功能,价值高达15000美元,下周公开!
  • · 报告称黑客滥用LOLBAS,通过微软Office安装包分发恶意软件
  • · 7月黑客不停歇 各类安全事件涉及的总金额达4.15亿美元
  • · 利用互联网作恶,美国“阴招”用尽
  • · 警惕,“高仿”邮箱骗局!“黑客”入侵互换两个字母,50万美元险被“劫”走
  • · 中美黑客大决战:8万中国网民席卷欧美,白宫升起五星红旗
  • · 2023年十大开源安全和运营风险
  • · 识破网络钓鱼企图的10个方法
  • 站内热门
    站内头条