OpenSSL 命令注入漏洞预警
1、基本情况
OpenSSL 是 OpenSSL 团队的一个开源的能够实现安全套接层
(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支
持多种加密算法,包括对称密码、哈希算法、安全散列算法等。
近日,监测发现 OpenSSL 存在操作系统命令注入漏洞,该漏洞
源于 c_rehash 脚本未正确清理 shell 元字符导致命令注入。攻
击者利用该漏洞执行任意命令。
对此,建议广大用户做好资产自查以及预防工作,以免遭受黑客
攻击。
2、影响范围
openssl - OpenSSL Software Foundation
⚫ >=1.1.1&&<=1.1.1n
⚫ >=1.0.2&&<=1.0.2zd
⚫ >=3.0.0&&<=3.0.2
3、处置建议
通用修复建议
目前官方已经修复这些漏洞,请尽快更新到修复版本:
该漏洞影响 OpenSSL3.0.0、3.0.1、3.0.2,OpenSSL1.1.1-1.
1.1n,OpenSSL1.0.2-1.0.2zd 目前该漏洞已经在 OpenSSL 1.1.1o、
1.0.2ze、3.0.3 版本中被修复
下载地址:
https://github.com/openssl/openssl/tags
4、参考链接
1) https://security-tracker.debian.org/tracker/CVE-20
22-1292
2) https://access.redhat.com/security/cve/CVE-2022-12
92