取消
顯示的結果
而不是尋找
你的意思是:

cve - 2022 - 0778

Vikram
新的貢獻者二世

我們如何更新集群的OpenSSL版本來解決這個漏洞?

https://ubuntu.com/security/cve - 2022 - 0778

試著用這個全球汽車更新openssl init腳本版本,但似乎並不工作apt-utils不見了。

apt-get更新

apt-get安裝——only-upgrade openssl

我已經嚐試修改全球init腳本如下修複apt-utils失蹤。

apt-get更新

apt-get安裝- y - no-install-recommends apt-utils

apt-get安裝——only-upgrade openssl

請建議正確的方式來修複這個漏洞。順便說一下我用10.4 LTS Azure磚中可用的運行時。

1接受解決方案

接受的解決方案

Atanu
尊敬的貢獻者
尊敬的貢獻者

我能看到下麵從我們內部溝通。

CVSSv3分數:4.0(中)AV: N /交流:H /公關:UI: N / N / S: C / C: N /我:N / A: L

參考:https://www.openssl.org/news/secadv/20220315.txt

嚴重程度:高

BN_mod_sqrt()函數,計算一個模塊化的平方根,包含一個錯誤會導致非優質模永遠循環。

內部函數時使用解析包含橢圓曲線公鑰證書以壓縮形式或顯式橢圓曲線參數與基地點編碼在壓縮形式。

有可能觸發的無限循環,製作證書無效的顯式的曲線參數。

自證書解析發生之前驗證證書的簽名,任何流程解析外部提供的證書可能會因此受到拒絕服務攻擊。無限循環也可以達到解析了私鑰時它們可以包含顯式的橢圓曲線參數。

因此脆弱的情況包括:

  • TLS客戶消耗服務器證書
  • TLS服務器使用客戶端證書
  • 把證書或私人密鑰從客戶主機提供商beplay体育app下载地址
  • 認證權威解析來自用戶認證請求
  • 其他的解析asn . 1橢圓曲線參數

任何其他應用程序使用BN_mod_sqrt(),攻擊者可以控製參數值很容易這DoS的問題。

OpenSSL 1.0.2版本的公鑰不是解析在初始解析的證書使其略難引發無限循環。然而任何操作需要的公共密鑰證書將觸發無限循環。尤其是攻擊者可以使用一個自簽名證書觸發循環在驗證簽名的證書。

這個問題影響OpenSSL版本1.0.2,1.1.1和3.0。這是解決1.1.1n和3.0.2版本的2022年3月15日。

OpenSSL 1.0.2用戶應該升級到1.0.2zd(高級支持客戶)beplay体育app下载地址

OpenSSL 1.1.1用戶應該升級到1.1.1n

用戶應該升級到3.0.2 OpenSSL 3.0

這個問題在2022年2月24日據報道OpenSSL Tavis聽完從穀歌。解決辦法是由大衛·本傑明從穀歌和TomašOpenSSL穆拉茲。

在原帖子查看解決方案

4回複4

Hubert_Dudek1
尊敬的貢獻者三世

我發現運行時10.4包括OpenSSL 1.4.6(來源https://docs.www.eheci.com/release-notes/runtime/10.4.html)和有關安全問題影響OpenSSL版本1.0.2,1.1.1和3.0。

Vikram
新的貢獻者二世

我相信你指的OpenSSL 1.4.6綁定在R版本

https://cran.r-project.org/web/packages/openssl/index.html

不同於openssl通過恰當的linux發行版安裝在機器上。如果你輸入以下命令在bash中,您應該看到底層openssl版本。

openssl版本——

OpenSSL 1.1.1f 2020年3月31日

我仍在等待答案。

Atanu
尊敬的貢獻者
尊敬的貢獻者

我能看到下麵從我們內部溝通。

CVSSv3分數:4.0(中)AV: N /交流:H /公關:UI: N / N / S: C / C: N /我:N / A: L

參考:https://www.openssl.org/news/secadv/20220315.txt

嚴重程度:高

BN_mod_sqrt()函數,計算一個模塊化的平方根,包含一個錯誤會導致非優質模永遠循環。

內部函數時使用解析包含橢圓曲線公鑰證書以壓縮形式或顯式橢圓曲線參數與基地點編碼在壓縮形式。

有可能觸發的無限循環,製作證書無效的顯式的曲線參數。

自證書解析發生之前驗證證書的簽名,任何流程解析外部提供的證書可能會因此受到拒絕服務攻擊。無限循環也可以達到解析了私鑰時它們可以包含顯式的橢圓曲線參數。

因此脆弱的情況包括:

  • TLS客戶消耗服務器證書
  • TLS服務器使用客戶端證書
  • 把證書或私人密鑰從客戶主機提供商beplay体育app下载地址
  • 認證權威解析來自用戶認證請求
  • 其他的解析asn . 1橢圓曲線參數

任何其他應用程序使用BN_mod_sqrt(),攻擊者可以控製參數值很容易這DoS的問題。

OpenSSL 1.0.2版本的公鑰不是解析在初始解析的證書使其略難引發無限循環。然而任何操作需要的公共密鑰證書將觸發無限循環。尤其是攻擊者可以使用一個自簽名證書觸發循環在驗證簽名的證書。

這個問題影響OpenSSL版本1.0.2,1.1.1和3.0。這是解決1.1.1n和3.0.2版本的2022年3月15日。

OpenSSL 1.0.2用戶應該升級到1.0.2zd(高級支持客戶)beplay体育app下载地址

OpenSSL 1.1.1用戶應該升級到1.1.1n

用戶應該升級到3.0.2 OpenSSL 3.0

這個問題在2022年2月24日據報道OpenSSL Tavis聽完從穀歌。解決辦法是由大衛·本傑明從穀歌和TomašOpenSSL穆拉茲。

嗨@Vikram Pentakota,

隻是一個友好的後續。做@Atanu Sarkar的反應幫助你解決你的問題嗎?如果是的,請其標記為最好的回應。

歡迎來到磚社區:讓學習、網絡和一起慶祝

加入我們的快速增長的數據專業人員和專家的80 k +社區成員,準備發現,幫助和合作而做出有意義的聯係。

點擊在這裏注冊今天,加入!

參與令人興奮的技術討論,加入一個組與你的同事和滿足我們的成員。

Baidu
map