【漏洞通报】高严重性 OpenSSL 错误可能导致远程代码执行

最新推荐文章于 2024-08-25 10:08:30 发布
最新推荐文章于 2024-08-25 10:08:30 发布
阅读量1.1w 收藏
点赞数 1
分类专栏: 网络研究观 文章标签: 大数据 网络安全 系统安全 安全 网络
本文链接:https://blog.csdn.net/qq_29607687/article/details/125650611
版权

OpenSSL 中的一个高严重性漏洞可能允许恶意行为者在服务器端设备上实现远程代码执行 (RCE)。

OpenSSL 是一个广泛使用的加密库,它提供了安全套接字层 (SSL) 和传输层安全 (TLS) 协议的开源实现。

它包括用于生成 RSA 私钥和执行加密和解密等任务的工具。

OpenSSL 3.0.4 版本在支持 AVX512IFMA 指令的 X86_64 CPU 的 RSA 实现中引入了一个“严重错误”。

此问题 (CVE-2022-2274) 导致使用 2048 位私钥的 RSA 实现不正确,这意味着在计算过程中会发生内存损坏。

OpenSSL 维护人员表示,由于内存损坏,攻击者可能能够在执行计算的机器上触发RCE 。

2022 年 6 月 22 日,此问题由也开发了修复程序的 Xi Ruoyao 报告给 OpenSSL。

SSL/TLS 服务器或其他使用 2048 位 RSA 私钥的服务器在支持 X86_64 架构的 AVX512IFMA 指令的机器上运行会受到此问题的影响。

“在易受攻击的机器上,对 OpenSSL 的正确测试将失败,应在部署前注意,”该公告写道。

OpenSSL 3.0.4 版本的用户应升级到 OpenSSL 3.0.5。OpenSSL 1.1.1 和 1.0.2 不受此问题的影响。

官方通报全文

网络研究观
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
openssl 1.0.2 漏洞修复指南
桀骜不逊
04-03 8325
项目初衷 因为Openssl1.0.2版本,官方已不再维护开源版本。Openssl-1.0.2u为最新的1.0.2正式发布的开源版本。 但是,Openssl-1.0.2u后续又爆出了一些漏洞,官方又不再维护,如何解决这些漏洞呢? 1. 大版本升级,升级到1.1.1系列,或者3.x.x版本。 2. 将漏洞修复代码合入到1.0.2u,继续使用1.0.2u。 考虑到项目中使用openssl大版本升级影响较大,项目中依赖openssl的原有模块都需要修改并重新编译。所以,本文重点介绍第二种解决方案。 Openss
腾讯蓝军安全通告|XStream远程代码执行漏洞(CVE-2021-29505)
Tencent_SRC的博客
05-17 5707
前言上周五XStream官方发布安全更新,由于官方把需要公告的CVE-2021-29505(任意代码执行漏洞)链接贴错成了CVE-2020-26258(SSRF漏洞)链接,导致很多人没有重...
OpenSSL 漏洞导致远程代码执行
smellycat000的专栏
07-07 533
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士OpenSSL 中存在一个漏洞,可导致恶意人员在服务器端设备上实现远程代码执行OpenSSL是一款使用广泛的加密库,提供SSL 和 TLS 协议的开源实现,包括很多生成RSA密钥和执行加密和解密的工具等。内存损坏安全公告指出,OpenSSL 3.0.4发布在支持 AVX512IFMA 指令的 X86_64 CPU的...
关于OpenSSL“心脏出血”漏洞的分析
skykingf的专栏
04-09 1121
关于OpenSSL“心脏出血”漏洞的分析 转自 http://drops.wooyun.org/papers/1381
开发日志:OpenSSL 信息泄露漏洞
老罗传奇
07-19 371
漏洞名称:SSL/TLS协议信息泄露漏洞(CVE-2016-2183) 漏洞危害:TLS、SSH 和 IPSec 协议以及其他协议和产品中使用的 DES 和 Triple DES 密码的生日限制约为 40 亿个块,这使得远程攻击者更容易通过生日攻击获取明文数据长时间的加密会话,如 CBC 模式下使用 Triple DES 的 HTTPS 会话所示,也称为“Sweet32”攻击 参考资料:http...
OpenSSL 代码问题漏洞CVE-2020-1971)(CVE-2020-1967)
lanren312的博客
06-23 3943
突然接到任务要维护服务器,一脸懵逼,硬着头皮上.....Openssl OpenSSL 代码问题漏洞CVE-2020-1967) 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.openssl.org/news/secadv/20200421.txt文档中指出:这些版本的用户应升级到 OpenSSL 1.1.1。Openssl OpenSSL 代码问题漏洞CVE-2020-1967) 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.openssl.
Openssl Infinite Loop 漏洞CVE-2022-0778)
最新发布
qq_62056583的博客
08-25 542
在该漏洞中由于证书解析时使用的 BN_mod_sqrt() 函数存在一个错误,它会导致在非质数的情况下永远循环。可通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的,因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。此外,当解析特制的私钥时(包含显式椭圆曲线参数),也可以触发无限循环。任何使用BN_mod_sqrt()的其他应用程序,如果可以控制参数值,也会受到此漏洞影响。
解决OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)安全漏洞,升级OpenSSLOpenSSL 1.0.1g
10-25
近期服务器开放的https的访问,确被安全组扫描出安全漏洞OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)),为修复该漏洞,升级OpenSSLOpenSSL 1.0.1g,同时重新编译升级OpenSSH和nginx,在此提供...
openssl-1.0.1g heartbleed漏洞已经修复
04-09
Heartbleed漏洞OpenSSL历史上最严重的一次安全事件,它暴露了加密通信的脆弱性。通过及时升级到OpenSSL 1.0.1g或其他修复后的版本,管理员可以有效地防止数据泄露,保护用户的隐私和服务器的安全。同时,这也提醒...
OpenSSL漏洞简述与网络检测方法
04-29
漏洞存在于OpenSSL 1.0.1f和1.0.2-beta版本的Heartbeat扩展模块中,由于代码错误,攻击者可以利用这个漏洞在服务器和客户端之间的心跳包交换过程中,非法获取服务器或客户端的内存数据,最多可达64KB。 在ssl/dl_...
openssl 心血漏洞测试和利用工具(注意不是坑人的16K版本)
06-05
CVE-2014-0160 OpenSSL数组越界访问漏洞(Heartbleed心脏滴血)
OpenSSL命令注入漏洞CVE-2022-1292)
m0_55641973的博客
06-13 5586
1. c_rehash是openssl中的一个用perl编写的脚本工具,c_rehash 为文件创建一个符号连接,并将此符号连接的名称设为文件的。语法:c_rehash [-old] [-h] [-n] [-v] [ directory... ]openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件.-v:打印移除的老式连接和新创建的连接的信息。-old:使用1.0.0版本之前的老式hash(MD5,而不是SHA-1)去生成连接。,则默认的目录由安装时的信息指定。
CVE-2014-0160(OpenSSL心脏滴血漏洞
p_utao的博客
03-17 802
漏洞背景 早在2014年,互联网安全协议OpenSSL被曝存在一个十分严重的安全漏洞。在黑客社区,它被命名为“心脏出血”,表明网络上出现了“致命内伤”。利用该漏洞,黑客可以获取约30%的https开头网址的用户登录账号密码,其中包括购物、网银、社交、门户等类型的知名网站。 Heartbleed漏洞是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就
OpenSSL 信息泄露漏洞CVE-2016-2183)&& 目标主机使用了不受支持的SSL加密算法
qq_44929154的博客
07-29 495
编辑Nginx配置文件:使用文本编辑器打开Nginx的配置文件(通常是/etc/nginx/nginx.conf或/etc/nginx/conf.d/目录下的某个文件)。修改ssl_ciphers指令:在server块中找到ssl_ciphers指令,并移除包含“3DES”的密码套件。
Centos7修复OpenSSL 安全漏洞 (CVE-2022-0778)
qq_53058639的博客
02-01 1712
centos7环境下OpenSSL拒绝服务漏洞(CVE-2022-0778)OpenSSL3.0OpenSSL拒绝服务漏洞(CVE-2022-0778):该漏洞是由于OpenSSL中的BN_mod_sqrt()函数存在解析错误,由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书场景都可能受到拒绝服务攻击,攻击者可在未授权的情况下通过构造特定证书来触发无限循环,执行拒绝服务攻击,最终使服务器无法提供服务。
被称为“核弹级别”的OpenSSL漏洞
younghz
04-09 6730
1.首先看下新闻: 转自:http://tech.sina.com.cn/i/2014-04-09/10049307446.shtml  新浪科技讯 北京时间4月9日上午消息,美国新闻网站Vox周二撰文,对当天公布的OpenSSL“心脏流血”漏洞进行了全面解读。   以下为文章全文:   什么是SSL?   SSL是一种流行的加密技术,可以保护用户通过互联网传输的
OpenSSL 心脏滴血漏洞(CVE-2014-0160)漏洞讲解
Al345__的博客
06-19 2259
OpenSSL(英语:Open Secure Sockets Layer。开放式安全套接层协议)在计算机网络上,OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。OpenSSL整个软件包大概可以分成三个主要的功能部分:SSL协议库、应用程序以及密码算法库。
CentOS linux 安装openssl(openssl拒绝服务漏洞CVE-2022-0778】解决)
zk_tww的博客
08-03 671
由于证书解析时使用的 BN_mod_sqrt() 函数存在一个错误,它会导致在非质数的情况下永远循环。由于证书解析是在验证证书签名之前进行的,因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。此外,当解析特制的私钥时(包含显式椭圆曲线参数),也可以触发无限循环。与上述安装步骤一致(将其中的其中openssl3.0.0修改为openssl3.0.2)2.输入(i:启用编辑,esc:退出编辑,:wq:保存退出,:q!备份时,需将路径修改为上次安装openssl的路径。需安装perl-IPC-Cmd包。
openssl解密错误代码101560482解决方式
05-26
错误代码101560482是 OpenSSL 库的一个常见错误,通常是由于证书或密钥不匹配或格式不正确导致的。 以下是可能的解决方案: 1. 确认证书和密钥是否匹配,可以使用以下命令检查: ``` openssl x509 -noout -modulus -in server.crt | openssl md5 openssl rsa -noout -modulus -in server.key | openssl md5 ``` 如果两个命令输出的 MD5 值不同,则证书和密钥不匹配,需要重新生成或重新配置。 2. 确认证书和密钥的格式是否正确,OpenSSL 支持多种格式,例如 PEM、DER、PKCS#12 等。可以使用以下命令检查: ``` openssl x509 -in server.crt -text -noout openssl rsa -in server.key -text -noout ``` 如果命令输出的内容包含错误或异常,则证书或密钥格式可能不正确,需要重新生成或转换格式。 3. 确认 OpenSSL 版本是否支持所使用的算法,例如如果使用了较新的加密算法(如 AES-GCM),则需要 OpenSSL 1.1.0 或更版本支持。 4. 确认 OpenSSL 配置是否正确,例如 OpenSSL 配置文件中的路径是否正确,是否存在必要的库和依赖项等。 希望这些解决方案能够帮助你解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络研究观

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值