日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

漏洞描述

近日，亞信安全CERT監測發現OpenSSL存在多個高危漏洞，漏洞編號分別為CVE-2022-1292和CVE-2022-1473。

CVE-2022-1292為OpenSSL代碼執行漏洞，漏洞源于c_rehash腳本沒有正確清理shell元字符以防止命令注入。該腳本由一些運營商分發系統以自動執行的方式。在易受攻擊的操作系統中，攻擊者利用此漏洞可使用腳本的權限執行任意命令。

CVE-2022-1473為OpenSSL拒絕服務漏洞，漏洞源于清空哈希表的OPENSSL_LH_flush()函數包含破壞已刪除哈希占用的內存重用的錯誤表條目。此功能在解碼證書或密鑰時使用，如果一個長期存在的進程定期解碼證書或密鑰，它的內存使用量將無限擴大，并且該進程可能會被操作系統終止，從而導致拒絕服務。攻擊者利用此漏洞可實施遠程拒絕服務。

OpenSSL是一個開放源代碼的軟件庫包，應用程序可以使用這個包來進行安全通信，避免竊聽，同時確認另一端連接者的身份。這個包廣泛被應用在互聯網的網頁服務器上。作為一個基于密碼學的安全開發包，OpenSSL提供的功能相當強大和全面，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協議，并提供了豐富的應用程序供測試或其它目的使用。

漏洞編號

• CVE-2022-1292

• CVE-2022-1473

漏洞評分

• CVE-2022-1292 9.0

• CVE-2022-1473 8.0

漏洞狀態

漏洞細節 公開

漏洞PoC 未知

漏洞EXP 未知

在野利用 未知

受影響的版本

• CVE-2022-1292 OpenSSL代碼執行漏洞

  OpenSSL：1.0.2、1.1.1 和 3.0

• CVE-2022-1473 OpenSSL拒絕服務漏洞

  OpenSSL :3.0

修復建議

※CVE-2022-1292 OpenSSL代碼執行漏洞

• OpenSSL 1.0.2 用戶應升級到 1.0.2ze（僅限高級支持客戶）

• OpenSSL 1.1.1 用戶應升級到 1.1.1o

• OpenSSL 3.0 用戶應升級到 3.0.3

下載地址：
https://github.com/openssl/openssl/tags

※CVE-2022-1473 OpenSSL拒絕服務漏洞

• OpenSSL 3.0 用戶應升級到 3.0.3

下載地址：
https://github.com/openssl/openssl/tags

參考鏈接

• https://github.com/openssl/openssl/tags

• https://www.openssl.org/news/secadv/20220503.txt

• https://git.openssl.org/gitweb/p=openssl.git;a=commitdiff;h=1ad73b4d27bd8c1b369a3cd453681d3a4f1bb9b2

• https://git.openssl.org/gitweb/p=openssl.git;a=commitdiff;h=548d3f280a6e737673f5b61fce24bb100108dfeb