OpenSSL 拒绝服务漏洞 (CVE-2023-6237)

2024年1月16日下午8:00 • 漏洞

漏洞类型	对因果或异常条件的不恰当检查	发现时间	2024-01-16	漏洞等级	低危
MPS编号	MPS-x84n-ctrf	CVE编号	CVE-2023-6237	漏洞影响广度	一般

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

漏洞危害

OSCS 描述

OpenSSL 是广泛使用的开源加密库。在 OpenSSL 3.0.0 到 3.0.12, 3.1.0 到 3.1.4 和 3.2.0 中，使用函数 EVP_PKEY_public_check() 来检查 RSA 公钥的应用程序可能会遇到长时间延迟。如果检查的密钥是从不可信任的来源获取的，这可能会导致拒绝服务。
其他 OpenSSL 函数不会调用 EVP_PKEY_public_check()函数，但会在 OpenSSL pkey 命令行应用程序中调用。如果使用 “-pubin ” 和 “-check ” 选项时，该应用程序也会受到攻击。
OpenSSL SSL/TLS 实现不受此问题影响。
此问题影响OpenSSL 3.0和3.1的FIPS提供商。
参考链接：https://www.oscs1024.com/hd/MPS-x84n-ctrf

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
openssl [3.0.0, 3.0.12]	升级	升级 openssl 到 18c02492 commit
openssl [3.1.0, 3.1.4]	升级	升级 openssl 到 a830f551 commit
openssl [3.2.0, 3.2.0]	升级	升级 openssl 到 0b0f7abf commit
github.com/openssl/openssl [3.0.0, 3.0.12]	升级	升级 github.com/openssl/openssl 到 18c02492 commit
github.com/openssl/openssl [3.2.0, 3.2.0]	升级	升级 github.com/openssl/openssl 到 0b0f7abf commit
github.com/openssl/openssl [3.1.0, 3.1.4]	升级	升级 github.com/openssl/openssl 到 a830f551 commit
参考链接：https://www.oscs1024.com/hd/MPS-x84n-ctrf

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-x84n-ctrf

https://www.openssl.org/news/secadv/20240115.txt

https://github.com/openssl/openssl/commit/0b0f7abf

https://github.com/openssl/openssl/commit/a830f551

https://github.com/openssl/openssl/commit/18c02492

https://nvd.nist.gov/vuln/detail/CVE-2023-6237

CVE-2023-6237 漏洞

赞 (0)

Atlassian Confluence 模板注入代码执行漏洞 (CVE-2023-22527)

上一篇 2024年1月16日下午8:00

IoTDB 存在远程代码执行漏洞 (CVE-2023-46226)

下一篇 2024年1月17日下午12:00

漏洞

Windows MSHTML 远程代码执行漏洞 (CVE-2023-35628)

漏洞类型代码注入发现时间 2023-12-13 漏洞等级高危 MPS编号 MPS-yxcv-aitq CVE编号 CVE-2023-35628 漏洞影响广度广漏洞危害 OSCS 描述 MSHTA(Microsoft HTML Application Host) 是一种Windows操作系统上执行HTML应用的程序。受影响的 Windows 版本中…

2023年12月13日
00
漏洞

Atlassian Confluence Data Center/Server 模板注入漏洞 (CVE-2023-22522)

漏洞类型代码注入发现时间 2023-12-06 漏洞等级严重 MPS编号 MPS-2023-0023 CVE编号 CVE-2023-22522 漏洞影响广度一般漏洞危害 OSCS 描述 Confluence 是由Atlassian公司开发的企业协作和文档管理工具。 Atlassian Confluence Data Center/Server 受影…

2023年12月8日
00
漏洞

Apache Airflow 渲染模版配置泄露漏洞 (CVE-2023-40712)

漏洞类型通过发送数据的信息暴露发现时间 2023-09-12 漏洞等级中危 MPS编号 MPS-dva6-4mre CVE编号 CVE-2023-40712 漏洞影响广度广漏洞危害 OSCS 描述 Airflow 是一个开源的工作流自动化平台，提供用户定义、调度和监视工作流任务的执行功能。在受影响版本中，当DAG任务运行时，由于日期解析存在缺陷，…

2023年9月13日
00
漏洞

Apache Airflow 存在Kubernetes配置文件泄露风险 (CVE-2023-51702)

漏洞类型日志敏感信息泄露发现时间 2024-01-24 漏洞等级中危 MPS编号 MPS-9l6b-gqsm CVE编号 CVE-2023-51702 漏洞影响广度广漏洞危害 OSCS 描述 Apache Airflow 是一个开源的工作流自动化平台，Apache Airflow CNCF Kubernetes provider 是给 Airflo…

2024年1月25日
00
漏洞

Google Chrome<120.0.6099.199 存在堆缓冲区溢出漏洞 (CVE-2024-0223)

漏洞类型堆缓冲区溢出发现时间 2024-01-04 漏洞等级高危 MPS编号 MPS-0xpr-q1kb CVE编号 CVE-2024-0223 漏洞影响广度广漏洞危害 OSCS 描述 Google Chrome 是 Google 公司开发的网页浏览器。ANGLE 是 Google Chrome 中用于提供图形API的库，包括 OpenGL ES …

2024年1月5日
00