【漏洞通告】OpenSSL RSA远程代码执行漏洞风险通告(CVE-2022-2274)

2022-07-08 15:16:02 漏洞播报 0个评论

安全通告

OpenSSL RSA远程代码执行漏洞

风险通告

发布日期:2022-7-8

 

漏洞描述

近日,检测到OpenSSL 官方发布OpenSSL RSA 私钥操作中的堆内存损坏通告(CVE-2022-2274),OpenSSL 3.0.4 版本在X86_64 的 RSA 实现中引入了一个严重的错误,运行在支持 AVX512IFMA 扩展指令的X86_64 架构的机器上的SSL/TLS 服务器或其他使用 2048 位 RSA 私钥的服务器会受到影响。

漏洞编号

CVE-2022-2274

漏洞危害

攻击者利用此漏洞可能会在目标系统上执行任意代码。

漏洞等级

高危

受影响版本

OpenSSL 3.0.4

复方案

  • 通过openssl version 命令查看 OpenSSL 版本,确认不是 OpenSSL 3.0.4;
  • 通过cat /proc/cpuinfo | grep avx512ifma 命令确认系统不支持 AVX512IFMA 扩展指令,如果输出中没有 “avx512ifma” 则代表系统不支持AVX512IFMA 扩展指令,如果版本为OpenSSL 3.0.4,且系统支持AVX512IFMA 扩展指令,则受此漏洞影响。用户可升级至0.5 版本。
  • 受影响的用户可升级至OpenSSL 3.0.5 最新版本:

参考链接

https://github.com/openssl/openssl/releases/tag/openssl-3.0.5

https://www.openssl.org/news/secadv/20220705.txt

分享本文 分享到新浪微博 分享到QQ好友