警惕！OpenSSL多个高危漏洞预警

漏洞描述

近日，亚信安全CERT监测发现OpenSSL存在多个高危漏洞，漏洞编号分别为CVE-2022-1292和CVE-2022-1473。

CVE-2022-1292为OpenSSL代码执行漏洞，漏洞源于c_rehash脚本没有正确清理shell元字符以防止命令注入。该脚本由一些运营商分发系统以自动执行的方式。在易受攻击的操作系统中，攻击者利用此漏洞可使用脚本的权限执行任意命令。

CVE-2022-1473为OpenSSL拒绝服务漏洞，漏洞源于清空哈希表的OPENSSL_LH_flush()函数包含破坏已删除哈希占用的内存重用的错误表条目。此功能在解码证书或密钥时使用，如果一个长期存在的进程定期解码证书或密钥，它的内存使用量将无限扩大，并且该进程可能会被操作系统终止，从而导致拒绝服务。攻击者利用此漏洞可实施远程拒绝服务。

OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。作为一个基于密码学的安全开发包，OpenSSL提供的功能相当强大和全面，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，并提供了丰富的应用程序供测试或其它目的使用。

漏洞编号

• CVE-2022-1292

• CVE-2022-1473

漏洞评分

• CVE-2022-1292   9.0

• CVE-2022-1473   8.0

漏洞状态

受影响的版本

• CVE-2022-1292 OpenSSL代码执行漏洞

  OpenSSL：1.0.2、1.1.1 和 3.0

• CVE-2022-1473 OpenSSL拒绝服务漏洞

  OpenSSL :3.0

修复建议

※CVE-2022-1292 OpenSSL代码执行漏洞

• OpenSSL 1.0.2 用户应升级到 1.0.2ze（仅限高级支持客户）

• OpenSSL 1.1.1 用户应升级到 1.1.1o

• OpenSSL 3.0 用户应升级到 3.0.3

下载地址：https://github.com/openssl/openssl/tags

※CVE-2022-1473 OpenSSL拒绝服务漏洞

• OpenSSL 3.0 用户应升级到 3.0.3

下载地址：https://github.com/openssl/openssl/tags

参考链接

• https://github.com/openssl/openssl/tags

• https://www.openssl.org/news/secadv/20220503.txt

• https://git.openssl.org/gitweb/p=openssl.git;a=commitdiff;h=1ad73b4d27bd8c1b369a3cd453681d3a4f1bb9b2

• https://git.openssl.org/gitweb/p=openssl.git;a=commitdiff;h=548d3f280a6e737673f5b61fce24bb100108dfeb