1. 墨知首页
  2. 漏洞

OpenSSL 拒绝服务漏洞 (CVE-2023-6237)

漏洞
漏洞类型 对因果或异常条件的不恰当检查 发现时间 2024-01-16 漏洞等级 低危
MPS编号 MPS-x84n-ctrf CVE编号 CVE-2023-6237 漏洞影响广度 一般
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
OpenSSL 是广泛使用的开源加密库。 在 OpenSSL 3.0.0 到 3.0.12, 3.1.0 到 3.1.4 和 3.2.0 中 ,使用函数 EVP_PKEY_public_check() 来检查 RSA 公钥的应用程序可能会遇到长时间延迟。如果检查的密钥是从不可信任的来源获取的,这可能会导致拒绝服务。
其他 OpenSSL 函数不会调用 EVP_PKEY_public_check()函数,但会在 OpenSSL pkey 命令行应用程序中调用。如果使用 “-pubin ” 和 “-check ” 选项时,该应用程序也会受到攻击。
OpenSSL SSL/TLS 实现不受此问题影响。
此问题影响OpenSSL 3.0和3.1的FIPS提供商。
参考链接:https://www.oscs1024.com/hd/MPS-x84n-ctrf

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
openssl [3.0.0, 3.0.12] 升级 升级 openssl 到 18c02492 commit
openssl [3.1.0, 3.1.4] 升级 升级 openssl 到 a830f551 commit
openssl [3.2.0, 3.2.0] 升级 升级 openssl 到 0b0f7abf commit
github.com/openssl/openssl [3.0.0, 3.0.12] 升级 升级 github.com/openssl/openssl 到 18c02492 commit
github.com/openssl/openssl [3.2.0, 3.2.0] 升级 升级 github.com/openssl/openssl 到 0b0f7abf commit
github.com/openssl/openssl [3.1.0, 3.1.4] 升级 升级 github.com/openssl/openssl 到 a830f551 commit
参考链接:https://www.oscs1024.com/hd/MPS-x84n-ctrf

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-x84n-ctrf

https://www.openssl.org/news/secadv/20240115.txt

https://github.com/openssl/openssl/commit/0b0f7abf

https://github.com/openssl/openssl/commit/a830f551

https://github.com/openssl/openssl/commit/18c02492

https://nvd.nist.gov/vuln/detail/CVE-2023-6237

(0)
上一篇 2024年1月16日 下午8:00
下一篇 2024年1月17日 下午12:00

相关推荐

  • OctoPrint<1.9.3 任意命令执行漏洞 (CVE-2023-41047) 漏洞

    OctoPrint<1.9.3 任意命令执行漏洞 (CVE-2023-41047)

    漏洞类型 模板注入 发现时间 2023-10-10 漏洞等级 中危 MPS编号 MPS-ftvy-n7x2 CVE编号 CVE-2023-41047 漏洞影响广度 一般 漏洞危害 OSCS 描述 OctoPrint是一个开源的3D打印机管理和控制软件,提供用户界面以监控和控制3D打印过程,支持远程访问和插件扩展。 在OctoPrint受影响的版本中,允许恶意…

    2023年10月10日
    0
  • easy-rules-mvel<=4.1.0 远程代码执行漏洞 (CVE-2023-50571) 漏洞

    easy-rules-mvel<=4.1.0 远程代码执行漏洞 (CVE-2023-50571)

    漏洞类型 代码注入 发现时间 2023-12-30 漏洞等级 高危 MPS编号 MPS-k69p-f547 CVE编号 CVE-2023-50571 漏洞影响广度 小 漏洞危害 OSCS 描述 Easy Rules 是开源的Java规则引擎,easy-rules-mvel 支持使用 MVEL 表达式语言定义规则。 easy-rules-mvel 4.1.0及…

    2023年12月31日
    0
  • NPM组件 @usaa-grp-payments-web-experience/bk-acknowledge-module 等窃取主机敏感信息 漏洞

    NPM组件 @usaa-grp-payments-web-experience/bk-acknowledge-module 等窃取主机敏感信息

    【高危】NPM组件 @usaa-grp-payments-web-experience/bk-acknowledge-module 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @usaa-grp-payments-web-experience/bk-acknowledge-module 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址…

    2025年8月2日
    0
  • Spring Cloud Contract 信息泄漏漏洞 (CVE-2024-22236) 漏洞

    Spring Cloud Contract 信息泄漏漏洞 (CVE-2024-22236)

    漏洞类型 未授权敏感信息泄露 发现时间 2024-01-31 漏洞等级 低危 MPS编号 MPS-nlih-a72m CVE编号 CVE-2024-22236 漏洞影响广度 广 漏洞危害 OSCS 描述 Spring Cloud Contract 是提供一种声明式的方式来创建HTTP和消息驱动的微服务应用之间的契约。 由于 Spring Cloud Cont…

    2024年1月31日
    0
  • Apache NiFi 远程资源检索功能存在命令注入漏洞 (CVE-2023-36542) 漏洞

    Apache NiFi 远程资源检索功能存在命令注入漏洞 (CVE-2023-36542)

    漏洞类型 代码注入 发现时间 2023/7/29 漏洞等级 高危 MPS编号 MPS-h7gi-f1vl CVE编号 CVE-2023-36542 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache NiFi 是一个开源的数据流处理和自动化工具。Apache NiFi 1.23.0之前版本中包含使用 HTTP URL 进行远程资源检索的 Process…

    2023年8月11日
    0