欢迎user
OpenSSL是一个开放源代码的安全套接字层密码库包,囊括主要的密码算法、常用密钥、证书封装管理功能及实现ssl协议。应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份,这个包被广泛应用在互联网的网页及应用服务器上。近日,新华三攻防实验室威胁预警团队监测到OpenSSL官方发布安全更新公告,修复了在OpenSSL中的一个代码问题漏洞(CVE-2022-3358)。新华三攻防实验室建议用户更新OpenSSL到最新的安全版本避免遭受攻击。
该漏洞是由于OpenSSL 3.0.0至3.0.5 版本错误地处理了传递的旧自定义密码,使用带有NID_undef的自定义密码可能会导致OpenSSL加密/解密初始化函数将NULL密码匹配为等效密码,使得明文作为密文发出。
OpenSSL版本 3.0.0 - 3.0.5
高危
目前OpenSSL官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:
https://www.openssl.org/news/secadv/20221011.txt
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=5485c56679d7c49b96e8fc8ca708b0b7e7c03c4b
https://nvd.nist.gov/vuln/detail/CVE-2022-3358