一、漏洞详情

OpenSSL是用于传输层安全 (TLS) 协议的开源工具包，用于通用加密和安全通信。

近日，OpenSSL项目发布安全公告，OpenSSL存在多个安全漏洞，编号分别为CVE-2022-1292和CVE-2022-1473。

CVE-2022-1292为OpenSSL代码执行漏洞，漏洞源于c_rehash脚本没有正确清理shell元字符以防止命令注入。该脚本由一些运营商分发系统以自动执行的方式。在易受攻击的操作系统中，攻击者利用此漏洞可使用脚本的权限执行任意命令。

CVE-2022-1473为OpenSSL拒绝服务漏洞，漏洞源于清空哈希表的OPENSSL_LH_flush()函数包含破坏已删除哈希占用的内存重用的错误表条目。此功能在解码证书或密钥时使用，如果一个长期存在的进程定期解码证书或密钥，它的内存使用量将无限扩大，并且该进程可能会被操作系统终止，从而导致拒绝服务。攻击者利用此漏洞可实施远程拒绝服务。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

CVE-2022-1292 OpenSSL代码执行漏洞：OpenSSL：1.0.2、1.1.1 和 3.0

CVE-2022-1473 OpenSSL拒绝服务漏洞：OpenSSL :3.0

三、修复建议

CVE-2022-1292 OpenSSL代码执行漏洞：

OpenSSL 1.0.2 用户应升级到 1.0.2ze（仅限高级支持客户）

OpenSSL 1.1.1 用户应升级到 1.1.1o

OpenSSL 3.0 用户应升级到 3.0.3

下载地址：https://github.com/openssl/openssl/tags

CVE-2022-1473 OpenSSL拒绝服务漏洞：

OpenSSL 3.0 用户应升级到 3.0.3

下载地址：https://github.com/openssl/openssl/tags