漏洞描述
近日,亚信安全CERT监控到OpenSSL存在远程代码执行漏洞(CVE-2022-2274),OpenSSL RSA组件中存在一处堆溢出漏洞,攻击者可以通过精心构造tls认证请求或其他认证行为来触发该漏洞,可能导致内存损坏或远程代码执行。
目前厂商已发布安全版本,亚信安全CERT建议使用OpenSSL的用户尽快采取相关措施。
OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。作为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。
漏洞编号
CVE-2022-2274
漏洞等级
高危
漏洞状态
影响的版本
OpenSSL 3.0.4
注:3.0.5、1.1.1和1.0.2版本不受影响
利用条件
修复建议
更新至安全版本:
OpenSSL 3.0.5版本
下载地址:
https://github.com/openssl/openssl/releases/tag/openssl-3.0.5
(OpenSSL 1.1.1和1.0.2版本不受此漏洞影响)
参考链接