阿里云漏洞库

漏洞描述

64 位 ARM 的 AES-XTS 密码解密实现平台包含一个错误，可能导致它读取输入缓冲区，导致崩溃。影响总结：64位ARM上使用AES-XTS算法的应用平台在极少数情况下可能会崩溃。 AES-XTS算法通常是用于磁盘加密。 64 位 ARM 平台的 AES-XTS 密码解密实现将读取如果密文大小为 4 mod 5，则超过密文缓冲区的末尾，例如 144 字节或 1024 字节。如果密文缓冲区后的内存是未映射，这将触发导致拒绝服务的崩溃。如果攻击者可以控制密文缓冲区的大小和位置由在 64 位 ARM 上使用 AES-XTS 的应用程序解密，申请受到影响。这不太可能造成这个问题 a 低严重性。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=02ac9c9420275868...
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=bc2f61ad70971869...
https://security.netapp.com/advisory/ntap-20230908-0006/
https://www.openssl.org/news/secadv/20230419.txt

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	openssl	openssl	*	From (including) 3.0.0	Up to (excluding) 3.0.9
	运行在以下环境
	应用	openssl	openssl	*	From (including) 3.1.0	Up to (excluding) 3.1.1
	运行在以下环境
	系统	alma_linux_9	openssl	*		Up to (excluding) 3.0.7-16.el9_2
	运行在以下环境
	系统	alpine_3.15	openssl3	*		Up to (excluding) 3.0.8-r3
	运行在以下环境
	系统	alpine_3.16	openssl3	*		Up to (excluding) 3.0.8-r3
	运行在以下环境
	系统	alpine_3.17	openssl	*		Up to (excluding) 3.0.8-r4
	运行在以下环境
	系统	alpine_3.18	openssl	*		Up to (excluding) 3.1.0-r4
	运行在以下环境
	系统	alpine_3.19	openssl	*		Up to (excluding) 3.1.0-r4
	运行在以下环境
	系统	amazon_2023	openssl	*		Up to (excluding) 3.0.8-1.amzn2023.0.2
	运行在以下环境
	系统	debian_10	openssl	*		Up to (excluding) 1.1.1n-0+deb10u6
	运行在以下环境
	系统	debian_11	openssl	*		Up to (excluding) 1.1.1n-0+deb11u5
	运行在以下环境
	系统	debian_12	openssl	*		Up to (excluding) 3.0.9-1
	运行在以下环境
	系统	opensuse_Leap_15.4	openssl	*		Up to (excluding) 3.0.8-150400.4.26.1
	运行在以下环境
	系统	opensuse_Leap_15.5	openssl	*		Up to (excluding) 3.0.8-150500.5.3.1
	运行在以下环境
	系统	oracle_9	openssl	*		Up to (excluding) 3.0.7-16.0.1.el9_2
	运行在以下环境
	系统	redhat_9	openssl	*		Up to (excluding) 3.0.7-16.el9_2
	运行在以下环境
	系统	ubuntu_22.10	openssl	*		Up to (excluding) 3.0.5-2ubuntu2.3

攻击路径

本地
攻击复杂度

困难
权限要求

普通权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-125	跨界内存读

中危 OpenSSL 拒绝服务漏洞(CVE-2023-1255)

漏洞描述

解决建议

参考链接

受影响软件情况