惠普Teradici PCoIP 受OpenSSL 漏洞影响，波及1500万个端点

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

惠普发现，Teradici 受最近披露的 OpenSSL 证书解析漏洞影响。该漏洞可触发Expat 中的无限拒绝服务循环和多个整数溢出漏洞。Teradici PCoIP 是一个专有的远程桌面服务，已向很多虚拟化产品厂商发放许可，惠普于2021年将其收购并用于自家产品中。

从官方网站来看，Teradici PCoIP 产品部署在1500万个端点中，为政府机构、军队、游戏开发企业、广播企业、新闻组织机构等提供支持。

惠普发布安全公告，披露了10个漏洞，其中3个是严重等级（CVSS v3评分9.8），8个为高危漏洞，1个为中危漏洞。

本次惠普修复的一个最严重漏洞是CVE-2022-0778，是位于OpenSSL 中的拒绝服务缺陷，可由解析恶意构造的证书触发。该漏洞将触发一个循环，导致该软件无法响应；考虑到该产品发挥的重要作用，此类攻击将具有非常大的破坏作用，因为用户将无法远程访问设备。

惠普修复的其它多个严重漏洞是CVE-2022-22822、CVE-2022-22823和CVE-2022-22824，它们都是位于libexpat 中的整数溢出和无效转换问题，可能导致不受控制的资源耗尽、提权和远程代码执行问题。

余下的5个高危漏洞也属于整数溢出漏洞，它们是CVE-2021-45960、CVE-2022-22825、CVE-2022-22826、CVE-2022-22827和CVE-2021-46143。

受上述漏洞影响的惠普产品包括 PCoIP 客户端，客户端SDK，Graphics Agent，和Windows、Linux 和 macOS 的Standard Agent。为了解决所有问题，用户应更新至版本22.01.3或使用OpenSSL 1.1.1n和libexpat 2.4.7 的后续版本。

惠普在2022年4月4日和5日发布安全更新，如用户在该更新发布后已更新 Teradici，则是安全的。

该OpenSSL 拒绝服务漏洞影响广泛，虽然它并非可导致灾难性攻击后果的漏洞，但鉴于OpenSSL 部署广泛，因此仍然是一个严重漏洞。

上个月晚些时候，QNAP 提醒称，多数NAS 设备易受CVE-2022-0778影响并督促用户尽快应用安全更新。上周，Palo Alto 公司提醒称，其VPN、XDR和防火墙产品客户应尽快应用安全更新，并提出了相关缓解措施。