检测

OpenSSL 3.5.0 < 3.5.1 漏洞

medium Nessus 插件 ID 237112

语言:

简介

远程服务受到漏洞影响。

描述

远程主机上安装的 OpenSSL 版本低于 3.5.1。因此,该程序受到 3.5.1 公告中提及的一个漏洞影响。

 - 问题摘要:将 -addreject 选项与 openssl x509 应用程序一起使用会添加证书的受信任使用方式,而不是拒绝使用方式。影响摘要:如果用户打算拒绝用于特定用途的受信任证书,它将改为标记为该用途受信任。次要代码重构期间存在的复制和粘贴错误,在 OpenSSL 3.5 版本中引入此问题。举例来说,如果受信任的 CA 证书应仅为对 TLS 服务器进行身份验证的目的是信任的,而非用于 CMS 签名验证的可用于 CMS 签名验证目的。此问题仅影响使用受信任证书格式且使用 openssl x509 命令行应用程序添加被拒绝用户的用户。仅影响命令行应用程序的问题被视为低严重性。3.5、3.4、3.3、3.2、3.1 和 3.0 中的 FIPS 模块不受此问题影响。OpenSSL 3.4、3.3、3.2、3.1、3.0、1.1.1 和 1.0.2 不受此问题影响。
 (CVE-2025-4575)

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级到 OpenSSL 版本 3.5.1 或更高版本。

另见

http://www.nessus.org/u?71c5cf95

https://openssl-library.org/news/secadv/20250522.txt

http://www.nessus.org/u?eac4598c

https://www.cve.org/CVERecord?id=CVE-2025-4575

插件详情

严重性: Medium

ID: 237112

文件名: openssl_3_5_1.nasl

版本: 1.2

类型: combined

代理: windows, macosx, unix

系列: Web Servers

发布时间: 2025/5/22

最近更新时间: 2025/5/30

配置: 启用全面检查 (optional)

支持的传感器: Nessus Agent, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 2.5

CVSS v2

风险因素: Medium

基本分数: 6.4

时间分数: 4.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS 分数来源: CVE-2025-4575

CVSS v3

风险因素: Medium

基本分数: 6.5

时间分数: 5.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:openssl:openssl

必需的 KB 项: installed_sw/OpenSSL

易利用性: No known exploits are available

补丁发布日期: 2025/5/22

漏洞发布日期: 2025/5/22

参考资料信息

CVE: CVE-2025-4575

IAVA: 2025-A-0378