OpenSSL 3.0.0 < 3.0.6 漏洞

high Nessus 插件 ID 166047

简介

远程服务受到漏洞影响。

描述

远程主机上安装的 OpenSSL 版本低于 3.0.6。因此,该应用程序受到 3.0.6 公告中提及的漏洞的影响。

- OpenSSL 支持通过旧版 EVP_CIPHER_meth_new() 函数和关联的函数调用创建自定义密码。OpenSSL 3.0 中已弃用此函数,建议应用程序作者使用新的提供程序机制以实现自定义密码。OpenSSL 版本 3.0.0 至 3.0.5 未正确处理传递到 EVP_EncryptInit_ex2()、EVP_DecryptInit_ex2() 和 EVP_CipherInit_ex2() 函数(以及其他名称类似的加密和解密初始化函数)的旧自定义密码。它没有直接使用自定义密码,而是错误地尝试从可用的提供程序获取等效密码。根据传递给 EVP_CIPHER_meth_new() 的 NID 找到等效的密码。此 NID 应代表给定密码的唯一 NID。但是,应用程序可能在对 EVP_CIPHER_meth_new() 的调用中错误地传递 NID_undef。以这种方式使用 NID_undef 时,OpenSSL 加密/解密初始化函数会将空密码匹配为等效密码,并将从可用的提供程序中提取。
如果已加载默认提供程序(或已加载提供此密码的第三方提供程序),此操作将会成功。使用空密码意味着以密文形式发出明文。
仅当应用程序使用 NID_undef 调用 EVP_CIPHER_meth_new() 并随后在对加密/解密初始化函数的调用中使用时,才会受到此问题的影响。仅使用 SSL/TLS 的应用程序不受此问题的影响。已在 OpenSSL 3.0.6 中修复(影响 3.0.0-3.0.5)。(CVE-2022-3358)

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级到 OpenSSL 版本 3.0.6 或更高版本。

另见

https://cve.org/CVERecord?id=CVE-2022-3358

http://www.nessus.org/u?8748528d

https://www.openssl.org/news/secadv/20221011.txt

插件详情

严重性: High

ID: 166047

文件名: openssl_3_0_6.nasl

版本: 1.6

类型: remote

系列: Web Servers

发布时间: 2022/10/11

最近更新时间: 2022/11/29

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: High

基本分数: 7.8

时间分数: 5.8

矢量: AV:N/AC:L/Au:N/C:C/I:N/A:N

时间矢量: E:U/RL:OF/RC:C

CVSS 分数来源: CVE-2022-3358

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:openssl:openssl

必需的 KB 项: openssl/port

易利用性: No known exploits are available

补丁发布日期: 2022/9/29

漏洞发布日期: 2022/9/29

参考资料信息

CVE: CVE-2022-3358

IAVA: 2022-A-0415-S