Jump to content
  • Hello visitors, welcome to the Hacker World Forum!

    Red Team 1949  (formerly CHT Attack and Defense Team) In this rapidly changing Internet era, we maintain our original intention and create the best community to jointly exchange network technologies. You can obtain hacker attack and defense skills and knowledge in the forum, or you can join our Telegram communication group to discuss and communicate in real time. All kinds of advertisements are prohibited in the forum. Please register as a registered user to check our usage and privacy policy. Thank you for your cooperation.

    TheHackerWorld Official

Recommended Posts

Bleeping Computer 网站披露,OpenSSL 修补了其用于加密通信通道和 HTTPS 连接的开源密码库中两个高危漏洞。漏洞分别追踪为 CVE-2022-3602 和 CVE-2022-3786,主要影响 OpenSSL 3.0.0 及更高版本,现已在 OpenSSL 3.0.7 中得到解决。

1667360930_6361e8a2bf52a126f5bf2

据悉,CVE-2022-3602 是一个任意 4 字节堆栈缓冲区溢出漏洞,可能导致拒绝服务或远程代码执行。CVE-2022-3786 可以被攻击者通过恶意电子邮件地址利用,通过缓冲区溢出触发拒绝服务状态。

OpenSSL 团队表示,虽然目前没有证据表明这两个漏洞已经被利用,但鉴于其具有很高的危险性,希望受影响用户尽快安装更新升级补丁,以免遭受网络威胁。此外,OpenSSL 还提供了一些其它缓解措施,例如直到应用新补丁前,要求操作 TLS 服务器的管理员禁用 TLS 客户端认证。

CVE-2022-3602 漏洞危险指数下降

值得一提的是,OpenSSL 最初发布的漏洞警告促使了管理员立即采取行动缓解漏洞,但之后鉴于 CVE-2022-3602 已被降级为高度严重,况且它只影响 OpenSSL 3.0 及更高版本,另外与 OpenSSL 密码库早期版本相比,最近发布的版本也尚未大量部署到生产中使用的软件上,因此造成的实际影响可能很有限,

尽管一些安全专家和供应商将此漏洞的危险性等同于 Apache Log4J 日志库中的 Log4Shell 漏洞,但在Censys 在线发现的 1793000 多个主机中,只有大约 7000个暴露在互联网上的系统正在运行易受攻击的OpenSSL 版本,Shodan 也列出了大约 16000 个可公开访问的 OpenSSL 实例。

此外,云安全公司 Wiz.io 也表示,在分析了主要云环境(AWS、GCP、Azure、OCI和阿里巴巴云)中的部署后,发现只有 1.5% 的 OpenSSL 实例受到这一安全漏洞的影响。

1667360939_6361e8ab3c400f8fa4c3e

流行 CSP 中存在漏洞的 OpenSSL 实例

最新的 OpenSSL 版本包含在多个流行的 Linux 发行版中,其中 Redhat Enterprise Linux 9、Ubuntu 22.04+、CentOS Stream9、Kali 2022.3、Debian 12 和 Fedora 36 被网络安全公司 Akamai标记为有漏洞,荷兰国家网络安全中心目前也正在确认一份受 CVE-2022-3602 漏洞影响的软件产品清单。


Link to post
Link to comment
Share on other sites

 Share

discussion group

discussion group

    You don't have permission to chat.
    • Recently Browsing   0 members

      • No registered users viewing this page.
    ×
    ×
    • Create New...