1. 墨知首页
  2. 漏洞

OpenSSL 拒绝服务漏洞 (CVE-2023-6237)

漏洞
漏洞类型 对因果或异常条件的不恰当检查 发现时间 2024-01-16 漏洞等级 低危
MPS编号 MPS-x84n-ctrf CVE编号 CVE-2023-6237 漏洞影响广度 一般
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
OpenSSL 是广泛使用的开源加密库。 在 OpenSSL 3.0.0 到 3.0.12, 3.1.0 到 3.1.4 和 3.2.0 中 ,使用函数 EVP_PKEY_public_check() 来检查 RSA 公钥的应用程序可能会遇到长时间延迟。如果检查的密钥是从不可信任的来源获取的,这可能会导致拒绝服务。
其他 OpenSSL 函数不会调用 EVP_PKEY_public_check()函数,但会在 OpenSSL pkey 命令行应用程序中调用。如果使用 “-pubin ” 和 “-check ” 选项时,该应用程序也会受到攻击。
OpenSSL SSL/TLS 实现不受此问题影响。
此问题影响OpenSSL 3.0和3.1的FIPS提供商。
参考链接:https://www.oscs1024.com/hd/MPS-x84n-ctrf

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
openssl [3.0.0, 3.0.12] 升级 升级 openssl 到 18c02492 commit
openssl [3.1.0, 3.1.4] 升级 升级 openssl 到 a830f551 commit
openssl [3.2.0, 3.2.0] 升级 升级 openssl 到 0b0f7abf commit
github.com/openssl/openssl [3.0.0, 3.0.12] 升级 升级 github.com/openssl/openssl 到 18c02492 commit
github.com/openssl/openssl [3.2.0, 3.2.0] 升级 升级 github.com/openssl/openssl 到 0b0f7abf commit
github.com/openssl/openssl [3.1.0, 3.1.4] 升级 升级 github.com/openssl/openssl 到 a830f551 commit
参考链接:https://www.oscs1024.com/hd/MPS-x84n-ctrf

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-x84n-ctrf

https://www.openssl.org/news/secadv/20240115.txt

https://github.com/openssl/openssl/commit/0b0f7abf

https://github.com/openssl/openssl/commit/a830f551

https://github.com/openssl/openssl/commit/18c02492

https://nvd.nist.gov/vuln/detail/CVE-2023-6237

(0)
上一篇 2024年1月16日 下午8:00
下一篇 2024年1月17日 下午12:00

相关推荐

  • Jumpserver<3.10.7 Jinja2注入远程代码执行漏洞 (CVE-2024-29202) 漏洞

    Jumpserver<3.10.7 Jinja2注入远程代码执行漏洞 (CVE-2024-29202)

    漏洞类型 暴露危险的方法或函数 发现时间 2024-03-29 漏洞等级 高危 MPS编号 MPS-bum2-rkd4 CVE编号 CVE-2024-29202 漏洞影响广度 一般 漏洞危害 OSCS 描述 JumpServer 是开源的堡垒机和运维安全审计系统。 在JumpServer 3.10.7之前版本中,攻击者可以通过构建恶意 playbook 模板…

    2024年4月1日
    0
  • WPS Office Excel 远程代码执行 (CVE-2023-31275) 漏洞

    WPS Office Excel 远程代码执行 (CVE-2023-31275)

    漏洞类型 使用未经初始化的变量 发现时间 2023-11-28 漏洞等级 高危 MPS编号 MPS-ar5t-2oui CVE编号 CVE-2023-31275 漏洞影响广度 广 漏洞危害 OSCS 描述 WPS Office软件是由金山办公软件股份有限公司自主研发的一款办公软件套装。 受影响版本中在处理Excel文件中的Data元素时存在未初始化指针使用漏…

    2023年11月29日
    0
  • Apache Airflow Spark Provider 任意文件读取漏洞 (CVE-2023-40272) [有POC] 漏洞

    Apache Airflow Spark Provider 任意文件读取漏洞 (CVE-2023-40272) [有POC]

    漏洞类型 输入验证不恰当 发现时间 2023-08-17 漏洞等级 高危 MPS编号 MPS-w0kg-9vl7 CVE编号 CVE-2023-40272 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Airflow Spark Provider是Apache Airflow项目的一个插件,用于在Airflow中管理和调度Apache Spar…

    2023年8月20日
    0
  • 用友U9Cloud存在任意文件读取漏洞 漏洞

    用友U9Cloud存在任意文件读取漏洞

    【高危】用友U9Cloud存在任意文件读取漏洞 漏洞描述 用友U9Cloud是一款企业级ERP,用于协助企业实现业务协同和流程管理的高效化和数字化。在/print/DynamaticExport.aspx接口的filePath参数存在任意文件读取,攻击者可借助漏洞读取目标机器任意文件。 MPS编号 MPS-72yk-6410 CVE编号 – 处置…

    2025年7月9日
    0
  • @koa/cors 存在同源验证不当漏洞 (CVE-2023-49803) 漏洞

    @koa/cors 存在同源验证不当漏洞 (CVE-2023-49803)

    漏洞类型 源验证错误 发现时间 2023-12-12 漏洞等级 高危 MPS编号 MPS-cwq7-e8rp CVE编号 CVE-2023-49803 漏洞影响广度 一般 漏洞危害 OSCS 描述 @koa/cors 是为 koa Web框架提供跨域资源共享(CORS)的中间件。 @koa/cors 5.0.0之前版本在处理请求时,如果没有提供允许的来源(a…

    2023年12月13日
    0