OpenSSL POLY1305 MAC算法矢量寄存器损坏漏洞 (CVE-2023-6129)

2024年1月10日下午4:00 • 漏洞

漏洞类型	对数组索引的验证不恰当	发现时间	2024-01-10	漏洞等级	低危
MPS编号	MPS-95ig-2os6	CVE编号	CVE-2023-6129	漏洞影响广度	广

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

漏洞危害

OSCS 描述

OpenSSL是广泛使用的开源加密库。
在 OpenSSL 中，用于 PowerPC CPU 的 POLY1305 MAC 实现在恢复矢量寄存器的内容时，与保存的顺序不同。因此，当返回给调用方时，一些矢量寄存器的内容被破坏。攻击者能够影响是否使用 POLY1305 MAC 算法，可能导致应用程序相关计算的错误结果或导致拒绝服务的崩溃。
参考链接：https://www.oscs1024.com/hd/MPS-95ig-2os6

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
参考链接：https://www.oscs1024.com/hd/MPS-95ig-2os6

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-95ig-2os6

https://nvd.nist.gov/vuln/detail/CVE-2023-6129

https://github.com/openssl/openssl/commit/050d26383d4e264966fb83428e72d5d48f402d35

https://github.com/openssl/openssl/commit/5b139f95c9a47a55a0c54100f3837b1eee942b04

https://github.com/openssl/openssl/commit/f3fc5808fe9ff74042d639839610d03b8fdcc015

https://www.openssl.org/news/secadv/20240109.txt

CVE-2023-6129 漏洞

赞 (0)

Windows Kerberos 安全特性绕过漏洞 (CVE-2024-20674)

上一篇 2024年1月10日下午2:00

GitLab 以其他用户身份执行 Slack 命令 (CVE-2023-5356)

下一篇 2024年1月12日下午8:00

漏洞

企业微信私有化2.5-2.6.93版本后台 API 未授权访问漏洞 [有POC]

漏洞类型未授权敏感信息泄露发现时间 2023/8/12 漏洞等级高危 MPS编号 MPS-3mwt-574l CVE编号 – 漏洞影响广度广漏洞危害 OSCS 描述企业微信私有化2.5.x版本及2.6.930000版本以下后台中存在接口未授权访问漏洞，攻击者通过访问/cgi-bin/gateway/agentinfo接口可获得Secr…

2023年9月1日
00
漏洞

Apache OFBiz 未授权远程代码执行漏洞 (CVE-2023-51467)

漏洞类型凭据管理错误发现时间 2023-12-26 漏洞等级严重 MPS编号 MPS-qkfi-ya3x CVE编号 CVE-2023-51467 漏洞影响广度一般漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。OFBiz支持运行 Grovvy代码来编程导出数据。由于LoginWorker.java中使用if (…

2023年12月27日
00
Next.js < 14.1.1 Server Actions SSRF漏洞 (CVE-2024-34351)

漏洞类型 SSRF 发现时间 2024-05-10 漏洞等级高危 MPS编号 MPS-4cby-lanf CVE编号 CVE-2024-34351 漏洞影响广度一般漏洞危害 OSCS 描述 Next.js 是Node.js生态中基于 React 的开源Web框架，其通过Server Actions功能提供了后端开发能力。在受影响版本中，当使用Serv…

漏洞 2024年5月11日
00
漏洞

Vue.js Devtools 信息泄漏漏洞 (CVE-2023-5718)

漏洞类型未授权敏感信息泄露发现时间 2023-10-23 漏洞等级中危 MPS编号 MPS-ufj7-8m52 CVE编号 CVE-2023-5718 漏洞影响广度一般漏洞危害 OSCS 描述 Vue.js Devtools 是一款用于 Vue.js 应用程序开发和调试的浏览器扩展工具。扩展中没有正确验证和授权postMessage()消息的来源…

2023年10月24日
00
漏洞

Apache NiFi H2驱动存在代码注入漏洞 (CVE-2023-34468)

漏洞类型代码注入发现时间 2023/6/13 漏洞等级高危 MPS编号 MPS-v4am-pz0t CVE编号 CVE-2023-34468 漏洞影响广度一般漏洞危害 OSCS 描述 Apache NiFi 是一个开源的数据流处理和自动化工具，DBCPConnectionPool 和 HikariCPConnectionPool 是两个控制器服务，…

2023年8月30日
00