1、产品描述:OpenSSL是一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。
2、影响产品或组件及版本:OpenSSL 3.0.0 和 3.0.6 之间的所有版本均受该漏洞影响
3、受影响资产情况:通过Shodan搜索引擎发现,全球共5182976个使用记录,其中第一名美国1461945个,第二名日本422879、第三名德国333602个。
4、技术细节描述:该漏洞源于在X.509 证书验证过程中(特别是在名称约束检查中)会触发缓冲区溢出,可能导致拒绝服务或远程代码执行。 缓冲区溢出发生在证书链签名验证之后,需要 CA 签署恶意证书或让应用程序在未能构建到受信任颁发者的路径时继续进行证书验证。攻击者可以构造恶意电子邮件地址利用可控的四个字节来溢出邻近缓冲区。
5、补救措施:官方修补措施:OpenSSL已发布修补措施,链接为:https://github.com/openssl/openssl/tags;修补建议:受影响的用户可以升级到OpenSSL 3.0.7或更高版本
6、漏洞来源:https://www.openssl.org/news/secadv/20221101.txt
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论