惠普警告嚴重漏洞，影響多達1500萬個端點

惠普警告Windows、Linux和macOS的Teradici PCoIP客戶端和代理中存在新的嚴重安全漏洞，這些漏洞影響多達1500萬個端點。

計算機和軟件供應商發現Teradici受到最近披露的OpenSSL證書解析漏洞的影響，該漏洞 導致無限的拒絕服務循環和Expat中的多個整數溢出漏洞。

Teradici PCoIP（PC over IP）是一種專有的遠程桌面協議，已授權給許多虛擬化產品供應商。2021年被惠普收購，據官網介紹，Teradici PCoIP產品部署在15,000,000個端點中，為政府機構、軍事單位、游戲開發公司、廣播公司、新聞機構等提供支持。

整數溢出嚴重

惠普在兩個公告1和2中披露了10個漏洞，其中三個具有嚴重性（CVSS v3評分：9.8），八個屬于高嚴重性，一個屬于中等嚴重性。

這次修復的最重要的漏洞之一是CVE-2022-0778，這是OpenSSL中由解析惡意制作的證書觸發的拒絕服務漏洞。該漏洞將導致軟件無響應的循環，但考慮到產品的關鍵任務應用程序，這種攻擊將非常具有破壞性，因為用戶將不再能夠遠程訪問設備。

另一組關鍵的已修復漏洞是CVE-2022-22822、CVE-2022-22823和CVE-2022-22824，它們都是libexpat中的整數溢出和無效移位問題，可能導致無法控制的資源消耗、特權提升和遠程代碼執行。

其余五個高嚴重性也是整數溢出漏洞，跟蹤為CVE-2021-45960、CVE-2022-22825、CVE-2022-22826、CVE-2022-22827和CVE-2021-46143。

受上述漏洞影響的產品包括適用于Windows、Linux和macOS的PCoIP客戶端、客戶端SDK、圖形代理和標準代理。

為了解決所有這些問題，惠普方敦促用戶更新到OpenSSL 1.1.1n和libexpat 2.4.7的版本22.01.3或更高版本。

惠普于2022年4月4日至5日發布了安全更新，如果從那時起就已經更新了Teradici，是相對安全的。

OpenSSL影響

由于OpenSSL DoS漏洞的廣泛部署，其影響廣泛，因此雖然這不是導致災難性攻擊的缺陷，但它仍然是一個重大問題。

上個月末，威聯通警告說，其大多數NAS設備都容易受到CVE-2022-0778的攻擊，并敦促其用戶盡快應用安全更新。

上周，Palo Alto Networks警告其VPN、XDR和防火墻產品客戶，提供安全更新和緩解措施。