漏洞描述

近日，亞信安全CERT監(jiān)控到OpenSSL存在遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2022-2274），OpenSSL RSA組件中存在一處堆溢出漏洞，攻擊者可以通過(guò)精心構(gòu)造tls認(rèn)證請(qǐng)求或其他認(rèn)證行為來(lái)觸發(fā)該漏洞，可能導(dǎo)致內(nèi)存損壞或遠(yuǎn)程代碼執(zhí)行。

目前廠商已發(fā)布安全版本，亞信安全CERT建議使用OpenSSL的用戶盡快采取相關(guān)措施。

OpenSSL是一個(gè)開(kāi)放源代碼的軟件庫(kù)包，應(yīng)用程序可以使用這個(gè)包來(lái)進(jìn)行安全通信，避免竊聽(tīng)，同時(shí)確認(rèn)另一端連接者的身份。這個(gè)包廣泛被應(yīng)用在互聯(lián)網(wǎng)的網(wǎng)頁(yè)服務(wù)器上。作為一個(gè)基于密碼學(xué)的安全開(kāi)發(fā)包，OpenSSL提供的功能相當(dāng)強(qiáng)大和全面，囊括了主要的密碼算法、常用的密鑰和證書(shū)封裝管理功能以及SSL協(xié)議，并提供了豐富的應(yīng)用程序供測(cè)試或其它目的使用。

漏洞編號(hào)

• CVE-2022-2274

漏洞等級(jí)

• 高危

漏洞狀態(tài)

受影響的版本

• OpenSSL 3.0.4

注：3.0.5、1.1.1和1.0.2版本不受影響

利用條件

• 使用2048位RSA私鑰算法

• 在支持X86_64架構(gòu)的AVX512IFMA指令的機(jī)器上

修復(fù)建議

更新至安全版本：

OpenSSL 3.0.5版本