國家漏洞庫CNNVD:關于OpenSSL安全漏洞的通報
近日,國家信息安全漏洞庫(CNNVD)收到關于OpenSSL 安全漏洞(CNNVD-202207-242、CVE-2022-2274)情況的報送。成功利用此漏洞的攻擊者,可造成目標機器內存損壞,進而在目標機器遠程執行代碼。OpenSSL 3.0.4版本受漏洞影響。目前,OpenSSL官方已發布新版本修復了漏洞,請用戶及時確認是否受到漏洞影響,盡快采取修補措施。
一、漏洞介紹
OpenSSL是OpenSSL團隊開發的一個開源的能夠實現安全套接層(SSLv2/v3)和安全傳輸層(TLSv1)協議的通用加密庫。該產品支持多種加密算法,包括對稱密碼、哈希算法、安全散列算法等。該漏洞源于計算機上具有2048位私鑰的 RSA 實現不正確,并且在計算過程中會發生內存損壞,導致攻擊者可能會在執行計算的機器上遠程執行代碼。
二、危害影響
成功利用此漏洞的攻擊者,可造成目標機器內存損壞,進而在目標機器遠程執行代碼。OpenSSL 3.0.4版本受漏洞影響。
三、修復建議
目前,OpenSSL官方已發布新版本修復了漏洞,請用戶及時
確認是否受到漏洞影響,盡快采取修補措施。官方鏈接如下:
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=4d8a88c134df634ba610ff8db1eb8478ac5fd345
本通報由CNNVD技術支撐單位——長春嘉誠信息技術股份有限公司、北京數字觀星科技有限公司、北京華云安信息技術有限公司、內蒙古洞明科技有限公司、太極計算機股份有限公司、中瑞創信息技術(北京)有限公司、安徽華云安科技有限公司提供支持。
CNNVD將繼續跟蹤上述漏洞的相關情況,及時發布相關信息。如有需要,可與CNNVD聯系。聯系方式: cnnvdvul@itsec.gov.cn
文章來源:CNNVD安全動態
