【安全通报】OpenSSL 存在远程代码执行漏洞和拒绝服务漏洞

近日，OpenSSL 官方发布安全公告，修复了远程代码执行漏洞及拒绝服务漏洞。

漏洞描述

OpenSSL 是 OpenSSL团队的一个开源的能够实现安全套接层（SSLv2/v3）和安全传输层（TLSv1）协议的通用加密库。该产品支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。

CVE-2022-1292 OpenSSL代码执行漏洞

由于 c_rehash 脚本未正确清理 shell 元字符的问题，未经授权的攻击者可利用该漏洞发送恶意请求，从而执行系统命令，导致远程代码执行。

该漏洞CVSS评分：9.8，危害等级：严重

CVE-2022-1473 OpenSSL拒绝服务漏洞

由于解码证书时的内存资源管理问题，未经授权的攻击者可利用该漏洞构造恶意请求，从而造成拒绝服务。

该漏洞CVSS评分：7.5，危害等级：高危

CVE 编号

CVE-2022-1292
CVE-2022-1473

FOFA 查询

app="OpenSSL"

影响范围

CVE-2022-1292(3.0.0 <= OpenSSL < 3.0.3 , 1.1.1 <= OpenSSL <= 1.1.1n , 1.0.2 <= OpenSSL <= 1.0.2zd)
CVE-2022-1473(3.0.0 <= OpenSSL < 3.0.3)    

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="OpenSSL"）共有 38,623,336 个相关服务对外开放。美国使用数量最多，共有 11,727,666 个；中国第二，共有 2,994,966 个；德国第三，共有 2,288,855 个；日本第四，共有 2,229,943 个；法国第五，共有 1,438,747 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区浙江使用数量最多，共有 486,650 个；北京第二，共有 459,262 个；广东第三，共有 334,224 个；上海第四，共有 201,757 个；山东第五，共有 118,291 个。

修复建议

参考影响范围，目前 OpenSSL 官方已修复该漏洞，请访问官方链接下载安全版本 https://github.com/openssl/openssl/tags

参考

[1] https://github.com/openssl/openssl/tags

白帽汇安全研究院从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。