OpenSSL 安全漏洞(CVE-2023-3817)

最新推荐文章于 2024-08-27 13:44:43 发布
最新推荐文章于 2024-08-27 13:44:43 发布
阅读量919 收藏 7
点赞数 8
分类专栏: 漏洞修复 文章标签: ssl 服务器 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65198365/article/details/136526458
版权

厂商补丁:

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.openssl.org/news/secadv/20230731.txt

OpenSSL安全建议[2023年7月31日]
==========================================

检查DH q参数值花费过多时间(CVE-2023-3817)
==================================================================

严重程度:低

问题总结:DH键或参数过长可能导致检查速度很慢。


影响总结:应用程序使用DH_check()、DH_check_ex()或EVP_PKEY_param_check()函数检查DH密钥或DH参数时,可能会出现较长的延迟。
如果正在检查的密钥或参数是从不受信任的来源获得的,则可能导致拒绝服务。


DH_check()函数对DH参数进行各种检查。在修复了CVE-2023-3446之后,发现一个较大的q参数值也会在这些检查中触发过长的计算时间。正确的q值,如果存在,不可能大于模数p参数,因此,如果q大于p,则不需要执行这些检查。

调用DH_check()并提供从不受信任的来源获得的密钥或参数的应用程序可能容易受到拒绝服务攻击。

DH_check()函数本身由许多其他OpenSSL函数调用。调用这些其他函数中的任何一个的应用程序都可能受到类似的影响。受此影响的其他函数是DH_check_ex()和EVP_PKEY_param_check()。

OpenSSL dhparam和pkeyparam命令行应用程序在使用“-check”选项时也容易受到攻击。

OpenSSL SSL/TLS的实现不受此问题影响。

OpenSSL 3.0和3.1 FIPS提供商不受此问题影响。

OpenSSL 3.1、3.0、1.1.1和1.0.2存在此漏洞。


由于这个问题的严重性较低,我们目前不会发布新的OpenSSL版本。
当下一个版本可用时,将包含该修复程序。
在OpenSSL git存储库中的commit 6a1eb62c2(针对3.1)、commit 9002fd073(针对3.0)和commit 91ddeba0f(针对1.1.1)中也可以找到该修复。
它可以在提交869ad69a (for1.0.2)中提供给高级支持客户。

此问题由Bernd Edlinger于2023年7月20日报告。解决办法是
由Tomas Mraz开发。

一般谘询说明
======================

此安全通知的URL:
https://www.openssl.org/news/secadv/20230731.txt

注意:该咨询的在线版本可能会更新更多细节
随着时间的推移。

有关OpenSSL严重性分类的详细信息,请参阅:
https://www.openssl.org/policies/secpolicy.html

OpenSSL 1.1.1将于2023-09-11结束生命周期。在该日期之后的安全
1.1.1的补丁将只提供给高级支持客户。

鹊鹊_Y
关注
专栏目录
OpenSSL安全漏洞与编程实践
HackCyberX的博客
08-13 210
POODLE漏洞是一种利用SSLv3协议的填充机制漏洞的攻击方式,攻击者可以通过多次发起请求并篡改其中的填充数据,逐步恢复明文信息。近年来,网络安全问题日益严重,其中OpenSSL作为一种常用的加密库,也不时曝出相关的漏洞。本文将介绍一些常见的OpenSSL安全漏洞,并提供相应的编程实践来帮助开发者提高代码质量和安全性。填充攻击是一种利用OpenSSL中的填充机制漏洞的攻击方式,主要针对使用块加密算法的密码库。为了防止心脏出血漏洞,我们需要及时更新OpenSSL版本,并确保使用的是经过修复的版本。
修复Oracle MySQL Server 安全漏洞(CVE-2023-0464)
最新发布
路~可以走过
10-19 282
修复Oracle MySQL Server 安全漏洞(CVE-2023-0464)
解决OpenSSL "SSL-Death-Alert" 拒绝服务漏洞(CVE-2016-8610)安全漏洞,升级OpenSSLOpenSSL 1.1.0k
10-25
最近放开了https服务,安全组扫描出新的漏洞,现对原OpenSSL 1.0.1g版本升级到OpenSSL 1.1.0k,同时重新编译OpenSSH及nginx,在此提供升级脚本,仅供参考
OpenSSL信息泄露漏洞(CVE-2016-2183)修复方案
weixin_47964022的博客
08-27 1419
OpenSSLOpenSSL团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。OpenSSL 的 TLS、SSH和IPSec协议和其它协议及产品中使用的DES和Triple DES密码算法存在信息泄露漏洞。TLS、SSH和IPSec协议以及其他协议和产品中使用的DES和3DES算法,约40亿个块存在生日冲突问题,这使得远程攻击者更容易通过针对长时间加密会话的生日攻击获取明文数据,在CBC模式下使用3DES的HTTPS会话,被称为“Sweet32”攻击。
openssl安全漏洞解决方案
嵌嵌的爱
12-29 4731
包括openssl和openssh升级,报错,安全漏洞解决等相关内容
Centos7修复OpenSSL 安全漏洞 (CVE-2022-0778)
qq_53058639的博客
02-01 1864
centos7环境下OpenSSL拒绝服务漏洞(CVE-2022-0778)OpenSSL3.0OpenSSL拒绝服务漏洞(CVE-2022-0778):该漏洞是由于OpenSSL中的BN_mod_sqrt()函数存在解析错误,由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书场景都可能受到拒绝服务攻击,攻击者可在未授权的情况下通过构造特定证书来触发无限循环,执行拒绝服务攻击,最终使服务器无法提供服务。
OpenSSL 心脏滴血漏洞(CVE-2014-0160)漏洞讲解
Al345__的博客
06-19 2362
OpenSSL(英语:Open Secure Sockets Layer。开放式安全套接层协议)在计算机网络上,OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。OpenSSL整个软件包大概可以分成三个主要的功能部分:SSL协议库、应用程序以及密码算法库。
OpenSSL命令注入漏洞 (CVE-2022-1292)
m0_55641973的博客
06-13 5978
1. c_rehash是openssl中的一个用perl编写的脚本工具,c_rehash 为文件创建一个符号连接,并将此符号连接的名称设为文件的。语法:c_rehash [-old] [-h] [-n] [-v] [ directory... ]openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件.-v:打印移除的老式连接和新创建的连接的信息。-old:使用1.0.0版本之前的老式hash(MD5,而不是SHA-1)去生成连接。,则默认的目录由安装时的信息指定。
CentOS 7 升级OpenSSH 9.6p1解决安全漏洞CVE-2023-51384、CVE-2023-51385
weixin_45371131的博客
02-27 1629
openssh9.6P1,
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
然而,随着时间的推移,OpenSSH可能会发现安全漏洞,这可能导致恶意攻击者利用这些弱点对系统进行入侵或数据泄露。本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-...
OpenSSH 资源管理错误漏洞(CVE-2021-28041)
06-22
OpenSSH 资源管理错误漏洞(CVE-2021-28041)是一个严重的安全漏洞,需要紧急升级 OpenSSH 和 OpenSSL 到最新版本。通过按照上述步骤升级,能够有效地解决该漏洞,保护服务器的安全和稳定性。 五、结论 OpenSSH 资源...
openssl 心血漏洞测试和利用工具(注意不是坑人的16K版本)
06-05
CVE-2014-0160 OpenSSL数组越界访问漏洞(Heartbleed心脏滴血)
OpenSSL相关漏洞与编程
SVIPCODE的博客
09-11 248
为了解决这个漏洞,应禁用SSL 3.0协议,推荐使用更安全的协议,如TLS 1.2或更高版本。解决这个漏洞的一个方式是升级到修复了这个漏洞的OpenSSL版本。通过使用上述代码示例,可以检测是否受到心脏出血漏洞或POODLE漏洞的影响。此外,定期监测和评估系统的安全性,以及持续关注安全漏洞的最新信息也是至关重要的。需要注意的是,以上示例只是为了说明问题,并不完全涵盖了所有可能的情况。在实际应用中,应该根据具体情况采取相应的安全措施,如定期更新OpenSSL版本、禁用不安全的加密协议、配置正确的加密参数等。
高危OpenSSL 漏洞可导致远程代码执行
smellycat000的专栏
07-07 551
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士OpenSSL 中存在一个高危漏洞,可导致恶意人员在服务器端设备上实现远程代码执行。OpenSSL是一款使用广泛的加密库,提供SSL 和 TLS 协议的开源实现,包括很多生成RSA密钥和执行加密和解密的工具等。内存损坏安全公告指出,OpenSSL 3.0.4发布在支持 AVX512IFMA 指令的 X86_64 CPU的...
标本兼治方能关上“泄密门”
u013681349的专栏
04-09 457
日前,国内最大的程序员社区CSDN网站的用户数据库被黑客公开发布,600万用户的登录名及密码被公开泄露,随后又有多家网站的用户密码被流传于网络,知名中文社区天涯网的4000万用户的登录名及密码也被公开泄露,连日来引发众多网民对自己账号、密码等互联网信息被盗取的普遍担忧。(12月25日《新华网》)   今年注定是互联网安全领域重要的一年,网络安全这个原本技术领域的小众话题一下子跃入大众的视野,天涯
【安全提示】OpenSSL 再出安全漏洞,这次有 8 个!
weixin_33812433的博客
01-13 293
OpenSSL 于昨晚全线发布新版本,修复了 8 个不同级别的安全漏洞。这次升级并不包括安全级别为 critical 或者 high-risk 的漏洞,但攻击者能利用这些漏洞造成服务器内存泄露,达到 DoS 的目的。GitCafe 提醒各位注意更新升级。 以下是一些可用的更新: OpenSSL 1.0.1k for...
OpenSSL 代码问题漏洞(CVE-2020-1971)(CVE-2020-1967)
lanren312的博客
06-23 4031
突然接到任务要维护服务器,一脸懵逼,硬着头皮上.....Openssl OpenSSL 代码问题漏洞(CVE-2020-1967) 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.openssl.org/news/secadv/20200421.txt文档中指出:这些版本的用户应升级到 OpenSSL 1.1.1。Openssl OpenSSL 代码问题漏洞(CVE-2020-1967) 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.openssl.
openssl漏洞修复
do_not_disturb的博客
06-03 496
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
解析OpenSSL重大安全漏洞
风叶
04-30 3762
2014年4月8日,XP宣布正式停止服务的日子,也是OpenSSL爆出大漏洞的日子。这个漏洞影响30~50%比例使用https的网站,其中包括大家经常访问的:支付宝、微信、淘宝、网银、社交、门户等知名网站。只要访问https的网站便有可能存在被嗅探数据的风险。   OpenSSL是什么?   OpenSSL是目前移动互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议)。它为网络通信提
修复OpenSSL TLS 漏洞 CVE-2014-0160:升级到OpenSSL 1.0.1g
在2014年,一个名为“心脏出血”(Heartbleed)的重大安全漏洞被发现,该漏洞即CVE-2014-0160,它存在于OpenSSL的TLS心跳扩展协议中。 **CVE-2014-0160 描述:** 这个漏洞允许攻击者利用TLS的心跳扩展选项来获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值