OpenSSL发布修复程序以解决多个安全漏洞!
OpenSSL 项目已发布修复程序以解决多个安全漏洞,包括开源加密工具包中的一个高严重性错误,该错误可能会使用户遭受恶意攻击。
国际知名白帽黑客、东方联盟创始人郭盛华表示,该问题被追踪为CVE-2023-0286,与类型混淆有关,可能允许对手“读取内存内容或实施拒绝服务”。
该漏洞源于流行的加密库处理 X.509 证书的方式,并且可能仅影响那些具有通过网络检索证书吊销列表 ( CRL ) 的自定义实现的应用程序。
“在大多数情况下,攻击需要攻击者提供证书链和 CRL,两者都不需要有效签名,”OpenSSL说。“如果攻击者只控制其中一个输入,那么另一个输入必须已经包含一个 X.400 地址作为 CRL 分发点,这是不常见的。”
类型混淆缺陷可能会产生严重后果,因为它们可能被武器化以故意迫使程序以意想不到的方式运行,可能导致崩溃或代码执行。
该问题已在 OpenSSL 版本 3.0.8、1.1.1t 和 1.0.2zg 中得到修补。作为最新更新的一部分解决的其他安全漏洞包括:
CVE-2022-4203 - X.509 名称约束读取缓冲区溢出
CVE-2022-4304 - RSA 解密中的 Timing Oracle
CVE-2022-4450 - 调用 PEM_read_bio_ex 后双重释放
CVE-2023-0215 - 遵循 BIO_new_NDEF 的释放后使用
CVE-2023-0216 - d2i_PKCS7 函数中的无效指针取消引用
CVE-2023-0217 - NULL 取消引用验证 DSA 公钥
CVE-2023-0401 - PKCS7 数据验证期间取消引用 NULL
成功利用上述缺点可能导致应用程序崩溃、泄露内存内容,甚至通过在Bleichenbacher 式攻击中利用基于时间的侧信道来恢复通过网络发送的明文消息。
在 OpenSSL 插入处理 X.509 证书时出现的低严重性缺陷 ( CVE-2022-3996 ) 后将近两个月,修复程序到达,导致拒绝服务条件。(欢迎转载分享)
OpenSSL发布修复程序以解决多个安全漏洞!相关推荐
- Citrix XenApp 6.0 发布应用程序时 ICO 错误的解决方法
XenApp 6.0在测试运行中发现某些应用程序发布过程中出现ICO错误信息,而无法进行下去.如下图 这个信息显示我发布应用程序 MindManager 9时,出现ICO格式错误信息.点击继续,下一步 ...
- Windows XP Service Pack 3 修复程序列表
编号文章标题类别274261 (http://support.microsoft.com/kb/274261/)超级终端缓冲区历史可能出现损坏修复297694 (http://support.micr ...
- 调试Release发布版程序的Crash错误
订阅 调试Release发布版程序的Crash错误 http://dingchaoqun12.blog.163.com/blog/static/116062504201152834814661/ 在W ...
- php表单数据提交到本业,PHP_PHP+Mysql+jQuery实现发布微博程序 php篇,先还是要说明本例的业务流程 - phpStudy...
PHP+Mysql+jQuery实现发布微博程序 php篇 先还是要说明本例的业务流程: 1.前端用户输入内容,并对输入的内容字数进行实时统计. 2.用户提交数据,jQuery实现通过Ajax向后台发 ...
- Word 2003安全模式修复程序
终于有时间了. 利用点时间,写了一个简单的脚本. 解决Word 2003打不开,只能进入安全模式的问题. 欢迎大家提出意见. 使用说明:(仅在XP系统上测试,Vista好像不行,没试过) 1.先关闭本 ...
- 发布dotNetCore程序到Kubernetes
上一篇<Mac中搭建Kubernetes>介绍了怎样在Mac中搭建单节点的Kubernetes,本文将编写一个dotNetCore的示例程序,并发布到Kubernetes中. 环境 基本步 ...
- mac vs 返回上一步_mac电脑打不开应用程序的解决方法
mac电脑跟windows电脑一样,经常会出现打不开应用程序的情况,并且提示"因为它来自身份不明的开发者",也不知道哪里出现问题?由于MAC系统与windows界面不一样,很多小编 ...
- ios12关闭设置角标_iOS 12.4.2为停产的设备带来了安全修复程序
就在昨天,Apple为某些特定设备的用户发布了iOS 12.4.2. 更具体地说,此更新仅适用于上周未收到iOS 13已停产的iPhone,iPod touch和iPad型号. 尽管该公司未指定新版 ...
- 用组策略发布软件的简单解决办法
利用组策略发布软件的简单解决办法 今天和大家共同学习一下利用组策略来发布软件,据说是很方便的,今天就来试一下 先说点小知识点:可能大家早就已经知道.见笑见笑 软件的部署分为指派和发布两种.发布呢不具有 ...
最新文章
- 斯皮尔曼相关系数范围_数据的相关系数
- ch5 MySQL 备份与恢复
- 使用py2exe打包python脚本为exe可执行程序
- Vue+ElementUI: 手把手教你做一个audio组件
- 【Linux】一步一步学Linux——dmesg命令(74)
- 使用html元素的getBoundingClientRect来获取dom元素的时时位置和大小
- 心学 禅宗_禅宗宣言,用于有效的代码审查
- lvs keepalive配置Jenkins2高可用
- python之MRO和垃圾回收机制
- 3月13 论文学习步骤:google的cartographer的论文《Real-Time Loop Closure in 2D LIDAR SLAM》
- 由我国科学家研制的计算机,由我国科学家研制的系列超级计算机综合技术处于国际领先水平,2015年11月,全球超级计算机...
- Error in macro ./uart_scope_run_msim_rtl
- Android 开发百度地图定位显示当前位置
- 程序员们的“钢铁审美”:花花公子封面女郎如何成为互联网第一夫人?
- 人类学家胡家奇谈科技发展:让它回归理性
- 小米路由r2d论坛_小米路由R2D,拼夕夕翻车了没
- 医学数字成像设备中计算机系统的作用包括,《医学影像设备学》题 集
- Markdown文档数学公式的使用
- 黑马程序员——IOS基础---Mac OS X
- Linux学习整理-网络防火墙firewalld
热门文章
- Specinker旧版博客
- 如何基于 ZEGO SDK 实现 Web 基本消息收发
- 谷歌浏览器插件的安装
- 泰牛php继承,2016 泰牛程序员 韩顺平 PHP 大牛班 Div Css课程
- DS1307 RTC模块使用
- 小波变换之点对称边界延拓(Symmetric boundary extension)
- 工具软件中的一些操作记录
- 串行口发送子程序C语言,基于C语言的RS232串行接口通信实现
- Hierarchical Contextualized Representation for Named Entity Recognition
- 《量化金融R语言初级教程》一2.1 均方差模型