OpenSSL 是一个用于加密和安全通信的开源工具包。受影响版本的 OpenSSL 的 X.509 GeneralName 中存在 X.400 地址类型混淆漏洞。由于 X.400 地址被解析为 ASN1_STRING,但 GENERAL_NAME 的公开的结构体定义中错误地将 x400 Address 字段类型声明为 ASN1_TYPE,导致 OpenSSL 的 GENERAL_NAME_cmp 函数将此字段解释为 ASN1_TYPE。当 OpenSSL 启用 CRL 校验时(如应用程序设置 X509_V_FLAG_RL_CHECK 标志),攻击者向 memcmp 调用传递任意指针,进而读取内存或造成拒绝服务。
1. 将组件 openssl 升级至 3.0.8-1 及以上版本
2. 升级OpenSSL到 1.0.2zg 或 1.1.1t 或 3.0.8 或更高版本
3. 将组件 libssl1.1 升级至 1.1.1n-0+deb11u4 及以上版本
4. 将组件 libssl-dev 升级至 1.1.1n-0+deb11u4 及以上版本
5. 将组件 libssl1.1-udeb 升级至 1.1.1n-0+deb11u4 及以上版本
6. 将组件 libcrypto1.1-udeb 升级至 1.1.1n-0+deb11u4 及以上版本
7. 将组件 openssl 升级至 1.1.1n-0+deb11u4 及以上版本
8. 将组件 libssl-doc 升级至 1.1.1n-0+deb11u4 及以上版本