RHEL 9:openssl(RHSA-2023:2523)
high Nessus 插件 ID 175461
语言:
简介
远程 Red Hat 主机缺少 openssl 的安全更新。描述
远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2023: 2523 公告中提及的漏洞的影响。- OpenSSL 支持通过旧版 EVP_CIPHER_meth_new() 函数和关联的函数调用创建自定义密码。OpenSSL 3.0 中已弃用此函数,建议应用程序作者使用新的提供程序机制以实现自定义密码。OpenSSL 版本 3.0.0 至 3.0.5 未正确处理传递到 EVP_EncryptInit_ex2()、EVP_DecryptInit_ex2() 和 EVP_CipherInit_ex2() 函数(以及其他名称类似的加密和解密初始化函数)的旧自定义密码。它没有直接使用自定义密码,而是错误地尝试从可用的提供程序获取等效密码。根据传递给 EVP_CIPHER_meth_new() 的 NID 找到等效的密码。此 NID 应代表给定密码的唯一 NID。但是,应用程序可能在对 EVP_CIPHER_meth_new() 的调用中错误地传递 NID_undef。以这种方式使用 NID_undef 时,OpenSSL 加密/解密初始化函数会将空密码匹配为等效密码,并将从可用的提供程序中提取。
如果已加载默认提供程序(或已加载提供此密码的第三方提供程序),此操作将会成功。使用空密码意味着以密文形式发出明文。
仅当应用程序使用 NID_undef 调用 EVP_CIPHER_meth_new() 并随后在对加密/解密初始化函数的调用中使用时,才会受到此问题的影响。仅使用 SSL/TLS 的应用程序不受此问题的影响。已在 OpenSSL 3.0.6 中修复(影响 3.0.0-3.0.5)。(CVE-2022-3358)
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新 RHEL openssl 程序包,依据 RHSA-2023: 2523 中的指南。另见
http://www.nessus.org/u?e6e0fa37
http://www.nessus.org/u?ecefa061
https://access.redhat.com/security/updates/classification/#low
https://bugzilla.redhat.com/show_bug.cgi?id=2060044
https://bugzilla.redhat.com/show_bug.cgi?id=2083879
https://bugzilla.redhat.com/show_bug.cgi?id=2094956
https://bugzilla.redhat.com/show_bug.cgi?id=2128412
https://bugzilla.redhat.com/show_bug.cgi?id=2129063
https://bugzilla.redhat.com/show_bug.cgi?id=2133809
https://bugzilla.redhat.com/show_bug.cgi?id=2134740
https://bugzilla.redhat.com/show_bug.cgi?id=2136250
https://bugzilla.redhat.com/show_bug.cgi?id=2137557
https://bugzilla.redhat.com/show_bug.cgi?id=2141597
https://bugzilla.redhat.com/show_bug.cgi?id=2141695
https://bugzilla.redhat.com/show_bug.cgi?id=2141748
https://bugzilla.redhat.com/show_bug.cgi?id=2142087
https://bugzilla.redhat.com/show_bug.cgi?id=2142121
https://bugzilla.redhat.com/show_bug.cgi?id=2142131
https://bugzilla.redhat.com/show_bug.cgi?id=2142517
https://bugzilla.redhat.com/show_bug.cgi?id=2144561
https://bugzilla.redhat.com/show_bug.cgi?id=2157965
插件详情
严重性: High
ID: 175461
文件名: redhat-RHSA-2023-2523.nasl
版本: 1.4
类型: local
代理: unix
发布时间: 2023/5/13
最近更新时间: 2024/4/28
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 5.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
CVSS 分数来源: CVE-2022-3358
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:openssl, p-cpe:/a:redhat:enterprise_linux:openssl-devel, p-cpe:/a:redhat:enterprise_linux:openssl-libs, p-cpe:/a:redhat:enterprise_linux:openssl-perl
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2023/5/9
漏洞发布日期: 2022/9/29
参考资料信息
CVE: CVE-2022-3358