1. 墨知首页
  2. 漏洞

OpenSSL 拒绝服务漏洞 (CVE-2023-6237)

漏洞
漏洞类型 对因果或异常条件的不恰当检查 发现时间 2024-01-16 漏洞等级 低危
MPS编号 MPS-x84n-ctrf CVE编号 CVE-2023-6237 漏洞影响广度 一般
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
OpenSSL 是广泛使用的开源加密库。 在 OpenSSL 3.0.0 到 3.0.12, 3.1.0 到 3.1.4 和 3.2.0 中 ,使用函数 EVP_PKEY_public_check() 来检查 RSA 公钥的应用程序可能会遇到长时间延迟。如果检查的密钥是从不可信任的来源获取的,这可能会导致拒绝服务。
其他 OpenSSL 函数不会调用 EVP_PKEY_public_check()函数,但会在 OpenSSL pkey 命令行应用程序中调用。如果使用 “-pubin ” 和 “-check ” 选项时,该应用程序也会受到攻击。
OpenSSL SSL/TLS 实现不受此问题影响。
此问题影响OpenSSL 3.0和3.1的FIPS提供商。
参考链接:https://www.oscs1024.com/hd/MPS-x84n-ctrf

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
openssl [3.0.0, 3.0.12] 升级 升级 openssl 到 18c02492 commit
openssl [3.1.0, 3.1.4] 升级 升级 openssl 到 a830f551 commit
openssl [3.2.0, 3.2.0] 升级 升级 openssl 到 0b0f7abf commit
github.com/openssl/openssl [3.0.0, 3.0.12] 升级 升级 github.com/openssl/openssl 到 18c02492 commit
github.com/openssl/openssl [3.2.0, 3.2.0] 升级 升级 github.com/openssl/openssl 到 0b0f7abf commit
github.com/openssl/openssl [3.1.0, 3.1.4] 升级 升级 github.com/openssl/openssl 到 a830f551 commit
参考链接:https://www.oscs1024.com/hd/MPS-x84n-ctrf

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-x84n-ctrf

https://www.openssl.org/news/secadv/20240115.txt

https://github.com/openssl/openssl/commit/0b0f7abf

https://github.com/openssl/openssl/commit/a830f551

https://github.com/openssl/openssl/commit/18c02492

https://nvd.nist.gov/vuln/detail/CVE-2023-6237

(0)
上一篇 2024年1月16日 下午8:00
下一篇 2024年1月17日 下午12:00

相关推荐

  • cacti <= 1.2.26 远程代码执行漏洞 (CVE-2024-25641)

    漏洞类型 代码注入 发现时间 2024-05-14 漏洞等级 严重 MPS编号 MPS-580w-3ubq CVE编号 CVE-2024-25641 漏洞影响广度 漏洞危害 OSCS 描述 Cacti 是一款基于 PHP 开发的网络流量监测图形分析工具。 在受影响的版本中,由于 /lib/import.php 文件中的 import_package 函数未对…

    漏洞 2024年5月16日
    0
  • JumpServer 任意密码重置漏洞 (CVE-2023-42820) 漏洞

    JumpServer 任意密码重置漏洞 (CVE-2023-42820)

    漏洞类型 输入验证不恰当 发现时间 2023-09-27 漏洞等级 高危 MPS编号 MPS-7u1t-o45e CVE编号 CVE-2023-42820 漏洞影响广度 广 漏洞危害 OSCS 描述 JumpServer 是一款开源的堡垒机。 在受影响版本中,由于第三方库django-simple-captcha可以在 API /core/auth/capt…

    2023年9月28日
    0
  • curl&libcurl高危漏洞CVE-2023-38545即将公开,如何应对? 漏洞

    curl&libcurl高危漏洞CVE-2023-38545即将公开,如何应对?

    背景 Curl是从1998年开始开发的开源网络请求命令行工具,其中包含的libcurl也被作为组件广泛用于应用的HTTP请求。 10月4日,curl项目的作者bagder(Daniel Stenberg)在GitHub中预告将于10月11日发布 8.4.0 版本,并公开两个漏洞:CVE-2023-38545和CVE-2023-38546。其中 CVE-202…

    2023年10月10日
    0
  • Apache NiFi 连接 URL 验证绕过漏洞 (CVE-2023-40037) 漏洞

    Apache NiFi 连接 URL 验证绕过漏洞 (CVE-2023-40037)

    漏洞类型 不完整的黑名单 发现时间 2023-08-19 漏洞等级 中危 MPS编号 MPS-0378-t16x CVE编号 CVE-2023-40037 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache NiFi 是一个开源的数据流处理和自动化工具。在受影响版本中,由于多个Processors和Controller Services在配置JDBC和…

    2023年8月20日
    0

  • MLflow <2.12.1 存在路径遍历漏洞 (CVE-2024-3848)

    漏洞类型 路径遍历 发现时间 2024-05-17 漏洞等级 严重 MPS编号 MPS-ghw4-em9v CVE编号 CVE-2024-3848 漏洞影响广度 漏洞危害 OSCS 描述 MLflow是一个简化机器学习开发的平台,包括跟踪实验、将代码打包为可重复运行以及共享和部署模型。 受影响版本[2.9.2,2.12.1)容易受到路径遍历的攻击,该漏洞是针…

    漏洞 2024年5月18日
    0