网络安全

Network Security

当前位置: 首页 > 网络安全 > 网络安全预警信息 > 正文

关于OpenSSL取消引用NULL指针漏洞(CVE-2022-3358)的安全预警

日期:2022-10-25阅读:

一、 基本情况

OpenSSL是一个强大的、商业级的、功能齐全的工具包,用于通用加密和安全通信。OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包被广泛应用在互联网的网页服务器上。


 二、 漏洞描述

10月11日,OpenSSL项目发布安全公告,修复了OpenSSL中的一个取消引用NULL指针漏洞(CVE-2022-3358),该漏洞的CVSSv3评分为7.5。

OpenSSL 3.0.0至3.0.5版本中,使用带有NID_undef的自定义密码可能会导致OpenSSL 加密/解密初始化函数将 NULL 密码匹配为等效密码,这意味着明文将作为密文发出。


三、 影响范围

OpenSSL 版本 3.0.0 - 3.0.5


四、 修复建议

受影响用户可以升级到以下版本:

OpenSSL 3.0用户:升级到 OpenSSL 3.0.6。

下载链接:

https://www.openssl.org/source/

注:OpenSSL 1.1.1 和 1.0.2 不受此漏洞影响。


五、 参考链接

https://www.venustech.com.cn/new_type/aqtg/20221018/24648.html

https://nvd.nist.gov/vuln/detail/CVE-2022-3358



我是盾盾