OpenSSL命令注入漏洞 (CVE-2022-1292) 安全风险通告

近日，奇安信CERT监测到OpenSSL官方发布OpenSSL命令注入漏洞（CVE-2022-1292）通告。该漏洞由于c_rehash脚本未对外部可控数据进行有效过滤，导致可操作/etc/ssl/certs/目录的攻击者注入恶意命令，从而以该脚本的权限执行任意命令。目前，官方已发布可更新版本，建议客户尽快做好自查，及时更新至最新版本。

奇安信CERT已成功复现OpenSSL命令注入漏洞(CVE-2022-1292)，截图如下：

风险等级

奇安信 CERT风险评级为：中危

风险等级：蓝色（一般事件）

威胁评估

处置建议

目前，官方已发布可更新版本，用户可升级OpenSSL版本：

OpenSSL 1.0.2 升级至 1.0.2ze (仅针对高级用户)；

OpenSSL 1.1.1 升级至 1.1.1o；

OpenSSL 3.0 升级至 3.0.3；

参照：https://www.openssl.org/source/

• 缓解措施：

c_rehash脚本已被标记为过时，推荐使用OpenSSL rehash代替c_rehash。

• 自检：

可以通过看系统c_rehash脚本分析是否存在该漏洞，该脚本可以通过whereis命令或者find命令查询位置。

whereis c_rehashsudo find / -name "c_rehash"

查看该脚本是否存在下面四行代码：

$fname =~s/"/"\\\\\\\\""/g;my ($hash, $fprint) =`"$openssl" x509 $x509hash -fingerprint -noout -in "$fname"`;$fname =~s/"/"\\\\\\\\""/g;my ($hash, $fprint) =`"$openssl" crl $crlhash -fingerprint -noout -in "$fname"`;

如果存在这四行代码说明该脚本存在注入漏洞。

参考资料

[1]https://www.openssl.org/news/secadv/20220503.txt

[2]https://lists.debian.org/debian-lts-announce/2022/05/msg00019.html

[3]https://access.redhat.com/security/cve/CVE-2022-1292

声明：本文来自奇安信 CERT，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。