中危 OpenSSL 安全漏洞

CVE编号

CVE-2022-3996

利用情况

暂无

补丁情况

官方补丁

披露时间

2022-12-14

漏洞描述

OpenSSL是OpenSSL团队的一个开源的能够实现安全套接层（SSLv2/v3）和安全传输层（TLSv1）协议的通用加密库。该产品支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 存在安全漏洞，该漏洞源于如果 X.509 证书包含格式错误的策略约束并且启用了策略处理，那么将递归地获取两次写锁， 在某些操作系统上，当受影响的进程挂起时，这会导致拒绝服务。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/openssl/openssl/commit/7725e7bfe6f2ce8146b6552b44e0d226be7638e7
https://www.openssl.org/news/secadv/20221213.txt

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	openssl	openssl	*	From (including) 3.0.0	Up to (including) 3.0.7
	运行在以下环境
	系统	alpine_3.15	openssl3	*		Up to (excluding) 3.0.8-r0
	运行在以下环境
	系统	alpine_3.16	openssl3	*		Up to (excluding) 3.0.8-r0
	运行在以下环境
	系统	alpine_3.17	openssl	*		Up to (excluding) 3.0.7-r2
	运行在以下环境
	系统	alpine_3.18	openssl	*		Up to (excluding) 3.0.7-r2
	运行在以下环境
	系统	alpine_edge	openssl	*		Up to (excluding) 3.0.7-r2
	运行在以下环境
	系统	amazon_2023	openssl	*		Up to (excluding) 3.0.5-1.amzn2023.0.7
	运行在以下环境
	系统	debian_10	openssl	*		Up to (excluding) 1.1.1n-0+deb10u3
	运行在以下环境
	系统	debian_11	openssl	*		Up to (excluding) 1.1.1w-0+deb11u1
	运行在以下环境
	系统	debian_12	openssl	*		Up to (excluding) 3.0.7-2
	运行在以下环境
	系统	debian_sid	openssl	*		Up to (excluding) 3.0.7-2
	运行在以下环境
	系统	opensuse_Leap_15.4	libopenssl-3-devel-32bit	*		Up to (excluding) 3.0.1-150400.4.14.1
	运行在以下环境
	系统	ubuntu_22.04	openssl	*		Up to (excluding) 3.0.2-0ubuntu1.9
	运行在以下环境
	系统	ubuntu_22.10	openssl	*		Up to (excluding) 3.0.5-2ubuntu2.2

阿里云评分 6.2

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 越权影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 数据泄露
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-667	加锁机制不恰当

Exp相关链接

- avd.aliyun.com