1. 墨知首页
  2. 漏洞

OpenSSL 拒绝服务漏洞 (CVE-2023-6237)

漏洞
漏洞类型 对因果或异常条件的不恰当检查 发现时间 2024-01-16 漏洞等级 低危
MPS编号 MPS-x84n-ctrf CVE编号 CVE-2023-6237 漏洞影响广度 一般
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
OpenSSL 是广泛使用的开源加密库。 在 OpenSSL 3.0.0 到 3.0.12, 3.1.0 到 3.1.4 和 3.2.0 中 ,使用函数 EVP_PKEY_public_check() 来检查 RSA 公钥的应用程序可能会遇到长时间延迟。如果检查的密钥是从不可信任的来源获取的,这可能会导致拒绝服务。
其他 OpenSSL 函数不会调用 EVP_PKEY_public_check()函数,但会在 OpenSSL pkey 命令行应用程序中调用。如果使用 “-pubin ” 和 “-check ” 选项时,该应用程序也会受到攻击。
OpenSSL SSL/TLS 实现不受此问题影响。
此问题影响OpenSSL 3.0和3.1的FIPS提供商。
参考链接:https://www.oscs1024.com/hd/MPS-x84n-ctrf

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
openssl [3.0.0, 3.0.12] 升级 升级 openssl 到 18c02492 commit
openssl [3.1.0, 3.1.4] 升级 升级 openssl 到 a830f551 commit
openssl [3.2.0, 3.2.0] 升级 升级 openssl 到 0b0f7abf commit
github.com/openssl/openssl [3.0.0, 3.0.12] 升级 升级 github.com/openssl/openssl 到 18c02492 commit
github.com/openssl/openssl [3.2.0, 3.2.0] 升级 升级 github.com/openssl/openssl 到 0b0f7abf commit
github.com/openssl/openssl [3.1.0, 3.1.4] 升级 升级 github.com/openssl/openssl 到 a830f551 commit
参考链接:https://www.oscs1024.com/hd/MPS-x84n-ctrf

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-x84n-ctrf

https://www.openssl.org/news/secadv/20240115.txt

https://github.com/openssl/openssl/commit/0b0f7abf

https://github.com/openssl/openssl/commit/a830f551

https://github.com/openssl/openssl/commit/18c02492

https://nvd.nist.gov/vuln/detail/CVE-2023-6237

(0)
上一篇 2024年1月16日 下午8:00
下一篇 2024年1月17日 下午12:00

相关推荐

  • Apache IoTDB Sync Tool反序列化漏洞 (CVE-2023-51656) 漏洞

    Apache IoTDB Sync Tool反序列化漏洞 (CVE-2023-51656)

    漏洞类型 反序列化 发现时间 2023-12-21 漏洞等级 中危 MPS编号 MPS-b5gs-81ux CVE编号 CVE-2023-51656 漏洞影响广度 漏洞危害 OSCS 描述 Apache IoTDB是时序数据的数据管理系统,为用户提供数据采集、存储、分析等特定服务。 在 FileLoaderManager.java 文件的 deSeriali…

    2023年12月22日
    0
  • minizip-ng<4.0.3 存在堆缓冲区溢出漏洞 (CVE-2023-48106) 漏洞

    minizip-ng<4.0.3 存在堆缓冲区溢出漏洞 (CVE-2023-48106)

    漏洞类型 堆缓冲区溢出 发现时间 2023-11-23 漏洞等级 高危 MPS编号 MPS-7wpn-d9ve CVE编号 CVE-2023-48106 漏洞影响广度 小 漏洞危害 OSCS 描述 minizip-ng 是一个开源的压缩库,用于创建和解压ZIP格式文件。 minizip-ng 4.0.3之前版本中的 mz_os.c#mz_path_resol…

    2023年11月23日
    0
  • sentry/nextjs <7.77.0 SSRF漏洞 (CVE-2023-46729) 漏洞

    sentry/nextjs <7.77.0 SSRF漏洞 (CVE-2023-46729)

    漏洞类型 SSRF 发现时间 2023-11-10 漏洞等级 严重 MPS编号 MPS-eg1f-zcy9 CVE编号 CVE-2023-46729 漏洞影响广度 一般 漏洞危害 OSCS 描述 Sentry是一个开源的实时事件日志监控、记录和聚合平台,Sentry Next.js 是 JavaScript 官方 Sentry SDK 由于没有使用正确的正则…

    2023年11月10日
    0
  • GoAnywhere MFT 存在未授权创建管理员风险 (CVE-2024-0204) 漏洞

    GoAnywhere MFT 存在未授权创建管理员风险 (CVE-2024-0204)

    漏洞类型 直接请求(强制性浏览) 发现时间 2024-01-23 漏洞等级 严重 MPS编号 MPS-1vbo-mr9c CVE编号 CVE-2024-0204 漏洞影响广度 一般 漏洞危害 OSCS 描述 GoAnywhere MFT 是一个管理文件传输的解决方案。 GoAnywhere MFT 7.4.1之前版本中,未经过身份验证的攻击者可通过 Admi…

    2024年1月23日
    0
  • NPM组件 @azet/api 等窃取主机敏感信息 漏洞

    NPM组件 @azet/api 等窃取主机敏感信息

    【高危】NPM组件 @azet/api 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @azet/api 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-be0g-pqt1 处置建议 强烈建议修复 发现时间 2025-07-31 投毒仓库 npm 投毒类型 暂无 利用成本 低 …

    2025年7月31日
    0