OpenSSL 拒绝服务漏洞 (CVE-2023-6237)

漏洞类型 对因果或异常条件的不恰当检查 发现时间 2024-01-16 漏洞等级 低危
MPS编号 MPS-x84n-ctrf CVE编号 CVE-2023-6237 漏洞影响广度 一般

漏洞危害

OSCS 描述
OpenSSL 是广泛使用的开源加密库。 在 OpenSSL 3.0.0 到 3.0.12, 3.1.0 到 3.1.4 和 3.2.0 中 ,使用函数 EVP_PKEY_public_check() 来检查 RSA 公钥的应用程序可能会遇到长时间延迟。如果检查的密钥是从不可信任的来源获取的,这可能会导致拒绝服务。
其他 OpenSSL 函数不会调用 EVP_PKEY_public_check()函数,但会在 OpenSSL pkey 命令行应用程序中调用。如果使用 “-pubin ” 和 “-check ” 选项时,该应用程序也会受到攻击。
OpenSSL SSL/TLS 实现不受此问题影响。
此问题影响OpenSSL 3.0和3.1的FIPS提供商。
参考链接:https://www.oscs1024.com/hd/MPS-x84n-ctrf

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
openssl [3.0.0, 3.0.12] 升级 升级 openssl 到 18c02492 commit
openssl [3.1.0, 3.1.4] 升级 升级 openssl 到 a830f551 commit
openssl [3.2.0, 3.2.0] 升级 升级 openssl 到 0b0f7abf commit
github.com/openssl/openssl [3.0.0, 3.0.12] 升级 升级 github.com/openssl/openssl 到 18c02492 commit
github.com/openssl/openssl [3.2.0, 3.2.0] 升级 升级 github.com/openssl/openssl 到 0b0f7abf commit
github.com/openssl/openssl [3.1.0, 3.1.4] 升级 升级 github.com/openssl/openssl 到 a830f551 commit
参考链接:https://www.oscs1024.com/hd/MPS-x84n-ctrf

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-x84n-ctrf

https://www.openssl.org/news/secadv/20240115.txt

https://github.com/openssl/openssl/commit/0b0f7abf

https://github.com/openssl/openssl/commit/a830f551

https://github.com/openssl/openssl/commit/18c02492

https://nvd.nist.gov/vuln/detail/CVE-2023-6237

(0)
上一篇 2024年1月16日 下午8:00
下一篇 2024年1月17日 下午12:00

相关推荐

  • Apache Flink Stateful Functions 存在 HTTP 标头注入漏洞 (CVE-2023-41139)

    漏洞类型 CRLF注入 发现时间 2023-09-20 漏洞等级 中危 MPS编号 MPS-g0z9-ja3f CVE编号 CVE-2023-41139 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache Flink 是开源、分布式流处理框架,Stateful Functions 是 Apache Flink 的一个模块,用于构建分布式、弹性的实时应用…

    2023年9月21日
    0
  • easy-rules-mvel<=4.1.0 远程代码执行漏洞 (CVE-2023-50571)

    漏洞类型 代码注入 发现时间 2023-12-30 漏洞等级 高危 MPS编号 MPS-k69p-f547 CVE编号 CVE-2023-50571 漏洞影响广度 小 漏洞危害 OSCS 描述 Easy Rules 是开源的Java规则引擎,easy-rules-mvel 支持使用 MVEL 表达式语言定义规则。 easy-rules-mvel 4.1.0及…

    2023年12月31日
    0
  • Splunk Enterprise for Windows 反序列化漏洞 (CVE-2024-23678)

    漏洞类型 输入验证不恰当 发现时间 2024-01-23 漏洞等级 高危 MPS编号 MPS-qxjm-zyb4 CVE编号 CVE-2024-23678 漏洞影响广度 一般 漏洞危害 OSCS 描述 Splunk 是一个机器数据引擎,用于收集、索引和利用应用程序、服务器和设备生成的快速移动型计算机数据 。 Splunk Enterprise for Win…

    2024年1月24日
    0
  • GeoServer 文件上传漏洞 (CVE-2023-51444)

    漏洞类型 任意文件上传 发现时间 2024-03-20 漏洞等级 高危 MPS编号 MPS-k1cj-eg7w CVE编号 CVE-2023-51444 漏洞影响广度 广 漏洞危害 OSCS 描述 GeoServer是一个用Java编写的开源软件服务器,允许用户共享和编辑地理空间数据。 GeoServer受影响版本中存在任意文件上传漏洞。由于未验证用户输入的…

    2024年3月21日
    0
  • Apache Derby LDAP 注入漏洞 (CVE-2022-46337)

    漏洞类型 LDAP注入 发现时间 2023-11-20 漏洞等级 中危 MPS编号 MPS-2022-65764 CVE编号 CVE-2022-46337 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Derby 是开源的关系型数据库管理系统。 受影响版本中,由于 LDAPAuthenticationSchemeImpl#getDNFromUI…

    2023年11月21日
    0