【低危】OpenSSL 拒绝服务漏洞

漏洞描述

OpenSSL 是广泛使用的开源加密库。 在 OpenSSL 3.0.0 到 3.0.12, 3.1.0 到 3.1.4 和 3.2.0 中 ,使用函数 EVP_PKEY_public_check() 来检查 RSA 公钥的应用程序可能会遇到长时间延迟。如果检查的密钥是从不可信任的来源获取的,这可能会导致拒绝服务。

其他 OpenSSL 函数不会调用 EVP_PKEY_public_check()函数,但会在 OpenSSL pkey 命令行应用程序中调用。如果使用 "-pubin " 和 "-check " 选项时,该应用程序也会受到攻击。

OpenSSL SSL/TLS 实现不受此问题影响。

此问题影响OpenSSL 3.0和3.1的FIPS提供商。

漏洞名称 OpenSSL 拒绝服务漏洞
漏洞类型 对因果或异常条件的不恰当检查
发现时间 2024/1/16
漏洞影响广度 一般
MPS编号 MPS-x84n-ctrf
CVE编号 CVE-2023-6237
CNVD编号 -

影响范围

openssl@3.0.0, 3.0.12

openssl@3.1.0, 3.1.4

openssl@3.2.0, 3.2.0

openssl@影响所有版本

openssl@影响所有版本

github.com/openssl/openssl@3.0.0, 3.0.12

github.com/openssl/openssl@3.2.0, 3.2.0

github.com/openssl/openssl@3.1.0, 3.1.4

修复方案

升级 github.com/openssl/openssl 到 a830f551 commit

升级 openssl 到 18c02492 commit

升级 openssl 到 a830f551 commit

升级 openssl 到 0b0f7abf commit

升级 github.com/openssl/openssl 到 18c02492 commit

升级 github.com/openssl/openssl 到 0b0f7abf commit

参考链接

OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

https://www.openssl.org/news/secadv/20240115.txt

https://github.com/openssl/openssl/commit/0b0f7abf

https://github.com/openssl/openssl/commit/a830f551

https://github.com/openssl/openssl/commit/18c02492

NVD - CVE-2023-6237

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自于百度、华为、乌云等企业,旗下的 MurphySec 软件供应链安全平台提供资产识别管理、风险检测、安全控制、一键修复等能力。

免费漏洞情报订阅

平台会通过实时监控多方渠道并进行人工分析,一手情报订阅地址:OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

免费代码安全检测工具

丰富的漏洞库及强大的检测能力,杜绝漏洞带来的风险隐患,工具地址: 墨菲安全 | 为您提供专业的软件供应链安全管理

开源项目

核心检测能力已开源,欢迎各位同学 Star⭐️

https://github.com/murphysecurity/murphysec/?sf=qbyj

相关推荐
Hiyajo pray13 小时前
SDN 访问控制性能调优方法
服务器·网络·网络安全
数据知道17 小时前
网络安全职业规划:从入门到高级安全工程师的路径图
安全·web安全·网络安全·渗透测试·职业规划
Sagittarius_A*18 小时前
Web 渗透实战:服务器系统识别、端口与中间件全量探测
服务器·网络安全·中间件·渗透测试
学逆向的19 小时前
汇编——函数
开发语言·汇编·网络安全
HackTwoHub20 小时前
AntiDebug Mcp、AI逆向绕过前端,Hook 加密接口,抓取 Vue 路由漏洞,接入 MCP 让 AI 自动化挖掘前端漏洞
前端·vue.js·人工智能·安全·web安全·网络安全·系统安全
JS_SWKJ20 小时前
【无标题】
网络安全
学逆向的1 天前
汇编——修改EIP的值
开发语言·汇编·网络安全
零零信安2 天前
AI智能体,攻守失衡的催化剂 | 零零信安
人工智能·网络安全·数据泄露·暗网·零零信安
白帽小阳2 天前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
白帽小阳2 天前
[特殊字符]【2026最新】零基础入门学网络安全(详细路线图),看这篇就够了!
学习·安全·web安全·网络安全·安全运营·学习路线·web渗透