企业动态

    奇安信CERT

    致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

    安全通告

    近日，奇安信CERT监测到OpenSSL官方发布OpenSSL命令注入漏洞（CVE-2022-1292）通告。该漏洞由于c_rehash脚本未对外部可控数据进行有效过滤，导致可操作/etc/ssl/certs/目录的攻击者注入恶意命令，从而以该脚本的权限执行任意命令。目前，官方已发布可更新版本，建议客户尽快做好自查，及时更新至最新版本。

    奇安信CERT已成功复现OpenSSL命令注入漏洞(CVE-2022-1292)，截图如下：

    风险等级

    奇安信CERT风险评级为：中危

    风险等级：蓝色（一般事件）

    威胁评估

    处置建议

    目前，官方已发布可更新版本，用户可升级OpenSSL版本：

    OpenSSL1.0.2升级至1.0.2ze(仅针对高级用户)；

    OpenSSL1.1.1升级至1.1.1o；

    OpenSSL3.0升级至3.0.3；

    参照：https://www.openssl.org/source/

    缓解措施：

    c_rehash脚本已被标记为过时，推荐使用OpenSSLrehash代替c_rehash。

    自检：

    可以通过看系统c_rehash脚本分析是否存在该漏洞，该脚本可以通过whereis命令或者find命令查询位置。

    whereisc_rehash

    sudofind/-name"c_rehash"

    查看该脚本是否存在下面四行代码：

    $fname=~s/'/'\\''/g;

    my($hash,$fprint)=`"$openssl"x509$x509hash-fingerprint-noout-in"$fname"`;

    $fname=~s/'/'\\''/g;

    my($hash,$fprint)=`"$openssl"crl$crlhash-fingerprint-noout-in'$fname'`;

    如果存在这四行代码说明该脚本存在注入漏洞。

    参考资料

    [1]https://www.openssl.org/news/secadv/20220503.txt

    [2]https://lists.debian.org/debian-lts-announce/2022/05/msg00019.html

    [3]https://access.redhat.com/security/cve/CVE-2022-1292

    时间线

    2022年5月19日，奇安信CERT发布安全风险通告。

    到奇安信NOX-安全监测平台查询更多漏洞详情