OpenSSL 项目已发布修复程序以解决多个安全漏洞，包括开源加密工具包中的一个高严重性错误，该错误可能会使用户遭受恶意攻击。

国际知名白帽黑客、东方联盟创始人郭盛华表示，该问题被追踪为CVE-2023-0286，与类型混淆有关，可能允许对手“读取内存内容或实施拒绝服务”。

该漏洞源于流行的加密库处理 X.509 证书的方式，并且可能仅影响那些具有通过网络检索证书吊销列表 ( CRL ) 的自定义实现的应用程序。

“在大多数情况下，攻击需要攻击者提供证书链和 CRL，两者都不需要有效签名，”OpenSSL说。“如果攻击者只控制其中一个输入，那么另一个输入必须已经包含一个 X.400 地址作为 CRL 分发点，这是不常见的。”

类型混淆缺陷可能会产生严重后果，因为它们可能被武器化以故意迫使程序以意想不到的方式运行，可能导致崩溃或代码执行。

该问题已在 OpenSSL 版本 3.0.8、1.1.1t 和 1.0.2zg 中得到修补。作为最新更新的一部分解决的其他安全漏洞包括：

CVE-2022-4203 - X.509 名称约束读取缓冲区溢出

CVE-2022-4304 - RSA 解密中的 Timing Oracle

CVE-2022-4450 - 调用 PEM_read_bio_ex 后双重释放

CVE-2023-0215 - 遵循 BIO_new_NDEF 的释放后使用

CVE-2023-0216 - d2i_PKCS7 函数中的无效指针取消引用

CVE-2023-0217 - NULL 取消引用验证 DSA 公钥

CVE-2023-0401 - PKCS7 数据验证期间取消引用 NULL

成功利用上述缺点可能导致应用程序崩溃、泄露内存内容，甚至通过在Bleichenbacher 式攻击中利用基于时间的侧信道来恢复通过网络发送的明文消息。

在 OpenSSL 插入处理 X.509 证书时出现的低严重性缺陷 ( CVE-2022-3996 ) 后将近两个月，修复程序到达，导致拒绝服务条件。（欢迎转载分享）

OpenSSL发布修复程序以解决多个安全漏洞！相关推荐

1. Citrix XenApp 6.0 发布应用程序时 ICO 错误的解决方法

   XenApp 6.0在测试运行中发现某些应用程序发布过程中出现ICO错误信息,而无法进行下去.如下图 这个信息显示我发布应用程序 MindManager 9时,出现ICO格式错误信息.点击继续,下一步 ...

2. Windows XP Service Pack 3 修复程序列表

   编号文章标题类别274261 (http://support.microsoft.com/kb/274261/)超级终端缓冲区历史可能出现损坏修复297694 (http://support.micr ...

3. 调试Release发布版程序的Crash错误

   订阅 调试Release发布版程序的Crash错误 http://dingchaoqun12.blog.163.com/blog/static/116062504201152834814661/ 在W ...

4. php表单数据提交到本业,PHP_PHP+Mysql+jQuery实现发布微博程序 php篇，先还是要说明本例的业务流程 - phpStudy...

   PHP+Mysql+jQuery实现发布微博程序 php篇 先还是要说明本例的业务流程: 1.前端用户输入内容,并对输入的内容字数进行实时统计. 2.用户提交数据,jQuery实现通过Ajax向后台发 ...

5. Word 2003安全模式修复程序

   终于有时间了. 利用点时间,写了一个简单的脚本. 解决Word 2003打不开,只能进入安全模式的问题. 欢迎大家提出意见. 使用说明:(仅在XP系统上测试,Vista好像不行,没试过) 1.先关闭本 ...

6. 发布dotNetCore程序到Kubernetes

   上一篇<Mac中搭建Kubernetes>介绍了怎样在Mac中搭建单节点的Kubernetes,本文将编写一个dotNetCore的示例程序,并发布到Kubernetes中. 环境 基本步 ...

7. mac vs 返回上一步_mac电脑打不开应用程序的解决方法

   mac电脑跟windows电脑一样,经常会出现打不开应用程序的情况,并且提示"因为它来自身份不明的开发者",也不知道哪里出现问题?由于MAC系统与windows界面不一样,很多小编 ...

8. ios12关闭设置角标_iOS 12.4.2为停产的设备带来了安全修复程序

   ​就在昨天,Apple为某些特定设备的用户发布了iOS 12.4.2. 更具体地说,此更新仅适用于上周未收到iOS 13已停产的iPhone,iPod touch和iPad型号. 尽管该公司未指定新版 ...

9. 用组策略发布软件的简单解决办法

   利用组策略发布软件的简单解决办法 今天和大家共同学习一下利用组策略来发布软件,据说是很方便的,今天就来试一下 先说点小知识点:可能大家早就已经知道.见笑见笑 软件的部署分为指派和发布两种.发布呢不具有 ...

最新文章

1. 斯皮尔曼相关系数范围_数据的相关系数
2. ch5 MySQL 备份与恢复
3. 使用py2exe打包python脚本为exe可执行程序
4. Vue+ElementUI: 手把手教你做一个audio组件
5. 【Linux】一步一步学Linux——dmesg命令(74)
6. 使用html元素的getBoundingClientRect来获取dom元素的时时位置和大小
7. 心学 禅宗_禅宗宣言，用于有效的代码审查
8. lvs keepalive配置Jenkins2高可用
9. python之MRO和垃圾回收机制
10. 3月13 论文学习步骤：google的cartographer的论文《Real-Time Loop Closure in 2D LIDAR SLAM》
11. 由我国科学家研制的计算机,由我国科学家研制的系列超级计算机综合技术处于国际领先水平，2015年11月，全球超级计算机...
12. Error in macro ./uart_scope_run_msim_rtl
13. Android 开发百度地图定位显示当前位置
14. 程序员们的“钢铁审美”：花花公子封面女郎如何成为互联网第一夫人？
15. 人类学家胡家奇谈科技发展：让它回归理性
16. 小米路由r2d论坛_小米路由R2D，拼夕夕翻车了没
17. 医学数字成像设备中计算机系统的作用包括,《医学影像设备学》题 集
18. Markdown文档数学公式的使用
19. 黑马程序员——IOS基础---Mac OS X
20. Linux学习整理-网络防火墙firewalld

热门文章

1. Specinker旧版博客
2. 如何基于 ZEGO SDK 实现 Web 基本消息收发
3. 谷歌浏览器插件的安装
4. 泰牛php继承,2016 泰牛程序员 韩顺平 PHP 大牛班 Div Css课程
5. DS1307 RTC模块使用
6. 小波变换之点对称边界延拓(Symmetric boundary extension)
7. 工具软件中的一些操作记录
8. 串行口发送子程序C语言,基于C语言的RS232串行接口通信实现
9. Hierarchical Contextualized Representation for Named Entity Recognition
10. 《量化金融R语言初级教程》一2.1　均方差模型