检测

Amazon Linux 2023:openssl、openssl-devel、openssl-libs (ALAS2023-2023-054)

high Nessus 插件 ID 173165

语言:

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此,它受到公告 ALAS2023-2023-054 中提及的多个漏洞影响。

 - 在某些情况下,使用 AES-NI 汇编优化实现的 32 位 x86 平台的 AES OCB 模式不会加密整个数据。这可能会显示内存中预先存在但未写入的 16 个字节数据。在就地加密的特殊情况下,将显示 16 个字节的纯文本。由于 OpenSSL 不支持用于 TLS 和 DTLS 的基于 OCB 的加密套件,因此它们都不会受到影响。已在 OpenSSL 3.0.5 中修复(影响 3.0.0-3.0.4)。在 OpenSSL 1.1.1q 中已修复(影响 1.1.1-1.1.1p)。(CVE-2022-2097)

 - OpenSSL 支持通过旧版 EVP_CIPHER_meth_new() 函数和关联的函数调用创建自定义密码。OpenSSL 3.0 中已弃用此函数,建议应用程序作者使用新的提供程序机制以实现自定义密码。OpenSSL 版本 3.0.0 至 3.0.5 未正确处理传递到 EVP_EncryptInit_ex2()、EVP_DecryptInit_ex2() 和 EVP_CipherInit_ex2() 函数(以及其他名称类似的加密和解密初始化函数)的旧自定义密码。它没有直接使用自定义密码,而是错误地尝试从可用的提供程序获取等效密码。根据传递给 EVP_CIPHER_meth_new() 的 NID 找到等效的密码。此 NID 应代表给定密码的唯一 NID。但是,应用程序可能在对 EVP_CIPHER_meth_new() 的调用中错误地传递 NID_undef。以这种方式使用 NID_undef 时,OpenSSL 加密/解密初始化函数会将空密码匹配为等效密码,并将从可用的提供程序中提取。
 如果已加载默认提供程序(或已加载提供此密码的第三方提供程序),此操作将会成功。使用空密码意味着以密文形式发出明文。
 仅当应用程序使用 NID_undef 调用 EVP_CIPHER_meth_new() 并随后在对加密/解密初始化函数的调用中使用时,才会受到此问题的影响。仅使用 SSL/TLS 的应用程序不受此问题的影响。已在 OpenSSL 3.0.6 中修复(影响 3.0.0-3.0.5)。(CVE-2022-3358)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

运行“'dnf update openssl --releasever=2023.0.20230222”以更新系统。

另见

https://alas.aws.amazon.com/AL2023/ALAS-2023-054.html

https://alas.aws.amazon.com/cve/html/CVE-2022-2097.html

https://alas.aws.amazon.com/cve/html/CVE-2022-3358.html

https://alas.aws.amazon.com/faqs.html

插件详情

严重性: High

ID: 173165

文件名: al2023_ALAS2023-2023-054.nasl

版本: 1.2

类型: local

代理: unix

发布时间: 2023/3/21

最近更新时间: 2023/4/20

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 4.1

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 分数来源: CVE-2022-2097

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:F/RL:O/RC:C

CVSS 分数来源: CVE-2022-3358

漏洞信息

CPE: p-cpe:/a:amazon:linux:openssl, p-cpe:/a:amazon:linux:openssl-debuginfo, p-cpe:/a:amazon:linux:openssl-debugsource, p-cpe:/a:amazon:linux:openssl-devel, p-cpe:/a:amazon:linux:openssl-libs, p-cpe:/a:amazon:linux:openssl-libs-debuginfo, p-cpe:/a:amazon:linux:openssl-perl, cpe:/o:amazon:linux:2023

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2023/2/17

漏洞发布日期: 2022/7/5

参考资料信息

CVE: CVE-2022-2097, CVE-2022-3358

IAVA: 2022-A-0265-S, 2022-A-0415-S