OpenSSL 拒绝服务漏洞(CVE-2023-6237)

CVE编号

CVE-2023-6237

利用情况

暂无

补丁情况

N/A

披露时间

2024-04-25
漏洞描述
OpenSSL 是广泛使用的开源加密库。 在 OpenSSL 3.0.0 到 3.0.12, 3.1.0 到 3.1.4 和 3.2.0 中 ,使用函数 EVP_PKEY_public_check() 来检查 RSA 公钥的应用程序可能会遇到长时间延迟。如果检查的密钥是从不可信任的来源获取的,这可能会导致拒绝服务。
其他 OpenSSL 函数不会调用 EVP_PKEY_public_check()函数,但会在 OpenSSL pkey 命令行应用程序中调用。如果使用 "-pubin " 和 "-check " 选项时,该应用程序也会受到攻击。
OpenSSL SSL/TLS 实现不受此问题影响。
此问题影响OpenSSL 3.0和3.1的FIPS提供商。
解决建议
"升级 github.com/openssl/openssl 到 0b0f7abf commit "
"升级 github.com/openssl/openssl 到 a830f551 commit "
"将组件 openssl 升级至 3.1.5-1 及以上版本"
"升级 openssl 到 18c02492 commit "
"升级 openssl 到 a830f551 commit "
"升级 openssl 到 0b0f7abf commit "
"升级 github.com/openssl/openssl 到 18c02492 commit "
参考链接
http://www.openwall.com/lists/oss-security/2024/03/11/1
https://github.com/openssl/openssl/commit/0b0f7abfb37350794a4b8960fafc292cd5d1b84d
https://github.com/openssl/openssl/commit/18c02492138d1eb8b6548cb26e7b625fb2414a2a
https://github.com/openssl/openssl/commit/a830f551557d3d66a84bbb18a5b889c640c36294
https://www.openssl.org/news/secadv/20240115.txt
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
系统 alpine_3.17 openssl * Up to
(excluding)
3.0.12-r3
运行在以下环境
系统 alpine_3.18 openssl * Up to
(excluding)
3.1.4-r4
运行在以下环境
系统 alpine_3.19 openssl * Up to
(excluding)
3.1.4-r4
运行在以下环境
系统 amazon_2023 openssl * Up to
(excluding)
3.0.8-1.amzn2023.0.11
运行在以下环境
系统 debian_10 openssl * Up to
(excluding)
1.1.1n-0+deb10u6
运行在以下环境
系统 debian_11 openssl * Up to
(excluding)
1.1.1n-0+deb11u5
运行在以下环境
系统 fedora_EPEL_8 openssl3 * Up to
(excluding)
3.2.1-1.1.el8
运行在以下环境
系统 opensuse_5.3 libopenssl3 * Up to
(excluding)
3.0.8-150400.4.49.1
运行在以下环境
系统 opensuse_5.4 libopenssl3 * Up to
(excluding)
3.0.8-150400.4.49.1
运行在以下环境
系统 opensuse_Leap_15.5 openssl * Up to
(excluding)
3.0.8-150500.5.24.1
CVSS3评分
N/A
  • 攻击路径
    N/A
  • 攻击复杂度
    N/A
  • 权限要求
    N/A
  • 影响范围
    N/A
  • 用户交互
    N/A
  • 可用性
    N/A
  • 保密性
    N/A
  • 完整性
    N/A
N/A
CWE-ID 漏洞类型
阿里云安全产品覆盖情况