奇安信CERT
致力于第一时间为企业级用户提供安全风险通告和有效解决方案。
近日,奇安信CERT监测到OpenSSL官方发布OpenSSL命令注入漏洞(CVE-2022-1292)通告。该漏洞由于c_rehash脚本未对外部可控数据进行有效过滤,导致可操作/etc/ssl/certs/目录的攻击者注入恶意命令,从而以该脚本的权限执行任意命令。目前,官方已发布可更新版本,建议客户尽快做好自查,及时更新至最新版本。
| |
| | | |
| | | |
| 命令执行 | | |
| | | |
|
| |
| |
|
| | | |
| | | |
漏洞描述 | 由于c_rehash脚本未对外部可控数据进行有效过滤,导致可操作/etc/ssl/certs/目录的攻击者注入恶意命令,从而以该脚本的权限执行任意命令。 |
影响版本 | OpenSSL 1.0.2
OpenSSL 1.1.1 OpenSSL 3.x |
不受影响版本 | OpenSSL 1.0.2 >= 1.0.2ze (仅针对高级用户) OpenSSL 1.1.1 >= 1.1.1o OpenSSL 3.0 >= 3.0.3 |
其他受影响组件 | https://access.redhat.com/security/cve/CVE-2022-1292 https://lists.debian.org/debian-lts-announce/2022/05/msg00019.html |
奇安信CERT已成功复现OpenSSL命令注入漏洞(CVE-2022-1292),截图如下:
奇安信 CERT风险评级为:中危
风险等级:蓝色(一般事件)
| |
| | | |
| | | |
| | |
| |
| |
| |
| |
| |
| |
| |
| 由于c_rehash脚本未对外部可控数据进行有效过滤,导致可操作/etc/ssl/certs/目录的攻击者注入恶意命令,从而以该脚本的权限执行任意命令。 |
目前,官方已发布可更新版本,用户可升级OpenSSL版本:
OpenSSL 1.0.2 升级至 1.0.2ze (仅针对高级用户);OpenSSL 1.1.1 升级至 1.1.1o;参照:https://www.openssl.org/source/
c_rehash脚本已被标记为过时,推荐使用OpenSSL rehash代替c_rehash。可以通过看系统c_rehash脚本分析是否存在该漏洞,该脚本可以通过whereis命令或者find命令查询位置。whereis c_rehashsudo find / -name "c_rehash"
查看该脚本是否存在下面四行代码:
$fname =~ s/'/'\\''/g;my ($hash, $fprint) = `"$openssl" x509 $x509hash -fingerprint -noout -in "$fname"`;$fname =~ s/'/'\\''/g;my ($hash, $fprint) = `"$openssl" crl $crlhash -fingerprint -noout -in '$fname'`;
如果存在这四行代码说明该脚本存在注入漏洞。
[1]https://www.openssl.org/news/secadv/20220503.txt
[2]https://lists.debian.org/debian-lts-announce/2022/05/msg00019.html
[3]https://access.redhat.com/security/cve/CVE-2022-1292
2022年5月19日,奇安信CERT发布安全风险通告。
点击阅读原文到奇安信NOX-安全监测平台查询更多漏洞详情
