中危 OpenSSL密钥和初始向量长度处理不当(CVE-2023-5363)
CVE编号
CVE-2023-5363利用情况
暂无补丁情况
官方补丁披露时间
2023-10-03漏洞描述
OpenSSL是广泛使用的开源加密库。 在处理密钥和初始化向量(IV)长度时, IV的截断错误导致其不唯一,可能导致在CCM、GCM和OCB模式下出现碰撞,无法保证数据机密性。 由于在调用EVP_EncryptInit_ex2(),EVP_DecryptInit_ex2()或EVP_CipherInit_ex2()函数时,提供的OSSL_PARAM数组在密钥和IV确定后进行处理。在OSSL_PARAM数组中,通过keylen或ivlen参数对密钥长度、IV长度的改变未按按预期生效,因此导致这些值的截断或过度读取。当使用以下密码和密码模式时受到影响:RC2,RC4,RC5,CCM,GCM和OCB。 密钥和IV的截断和溢出都会产生错误的结果,并且在某些情况下可能会触发内存异常。解决建议
"升级至3.0.12或3.1.4版本"受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | * | From (including) 3.0.0 | Up to (excluding) 3.0.12 | ||||
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | * | From (including) 3.1.0 | Up to (excluding) 3.1.4 | ||||
| 运行在以下环境 | |||||||||
| 系统 | alpine_3.17 | openssl | * | Up to (excluding) 3.0.12-r0 | |||||
| 运行在以下环境 | |||||||||
| 系统 | alpine_3.18 | openssl | * | Up to (excluding) 3.1.4-r0 | |||||
| 运行在以下环境 | |||||||||
| 系统 | alpine_edge | openssl | * | Up to (excluding) 3.1.4-r0 | |||||
| 运行在以下环境 | |||||||||
| 系统 | amazon_2023 | openssl | * | Up to (excluding) 3.0.8-1.amzn2023.0.9 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian | debian_linux | 12.0 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_10 | openssl | * | Up to (excluding) 1.1.1n-0+deb10u3 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_11 | openssl | * | Up to (excluding) 1.1.1w-0+deb11u1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_12 | openssl | * | Up to (excluding) 3.0.11-1~deb12u2 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_sid | openssl | * | Up to (excluding) 3.0.12-1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | netapp | h300s_firmware | - | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | netapp | h410c_firmware | - | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | netapp | h410s_firmware | - | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | netapp | h500s_firmware | - | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | netapp | h700s_firmware | - | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_22.04 | nodejs | * | Up to (excluding) 3.0.2-0ubuntu1.12 | |||||
| 运行在以下环境 | |||||||||
| 硬件 | netapp | h300s | * | - | |||||
| 运行在以下环境 | |||||||||
| 硬件 | netapp | h410c | - | - | |||||
| 运行在以下环境 | |||||||||
| 硬件 | netapp | h410s | * | - | |||||
| 运行在以下环境 | |||||||||
| 硬件 | netapp | h500s | * | - | |||||
| 运行在以下环境 | |||||||||
| 硬件 | netapp | h700s | * | - | |||||
- 攻击路径 本地
- 攻击复杂度 复杂
- 权限要求 普通权限
- 影响范围 越权影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| NVD-CWE-noinfo |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论