百度360必应搜狗淘宝本站头条
tomcat 乱码无法与服务器建立安全连接是什么意思sysv-rc-confdocker映射容器目录到宿主机internet explorer 增强的安全配置已启用
当前位置:网站首页 > 技术文章 > 正文

运维注意啦!OpenSSL又报安全漏洞了,可远程执行代码

nanshan 2025-03-11 19:21 10 浏览 0 评论

漏洞概述

漏洞编号:CVE-2022-2274

漏洞威胁等级:高危

漏洞详情

OpenSSL是一个强大的、商业级的、功能齐全的工具包,用于通用加密和安全通信。

近日,OpenSSL被披露存在一个远程代码执行漏洞(CVE-2022-2274),该漏洞影响了OpenSSL 3.0.4 版本。

OpenSSL 3.0.4 版本中,在支持 AVX512IFMA 指令的 X86_64 CPU 的 RSA 实现中存在安全问题,导致使用2048 位私钥的RSA在此类服务器上运行错误,在计算过程中会发生内存损坏,可利用此漏洞在目标系统上触发代码执行。

总结

该漏洞有如下限制:

  • 使用 RSA 算法,私钥长度2048bit
  • CPU架构为 AVX512IFMA (常见为 intel 的x86桌面处理器)

但上述情况是主流unix服务器的默认配置,需要特别注意 在满足上述条件的服务器上执行以下行为可能受到该漏洞影响:

  • ssh 认证
  • tls 认证
  • 文件签名认证

影响范围

  • OpenSSL 3.0.4版本

注:在支持X86_64架构AVX512IFMA指令的服务器上运行的SSL/TLS 服务器或其它使用2048位RSA私钥的服务器容易受此漏洞影响。


修复建议

OpenSSL项目已在7月5日发布的3.0.5 版本中修复了此漏洞。此外,OpenSSL项目还修复了AES OCB加密漏洞(CVE-2022-2097,中危),受影响用户可以升级到以下版本:

  • OpenSSL 3.0.0-3.0.4版本:升级到 3.0.5
  • OpenSSL 1.1.1-1.1.1p 版本:升级到 1.1.1q

使用 OpenSSL 3.0.5 以下版本的用户建议尽快升级,建议在升级完成后重启服务器

若无法及时升级可以尝试以下解决方案:

对正在运行的程序进行停止,并加入额外的环境变量export OPENSSL_ia32cap=:~0x200000后重启。

值得注意的是使用OpenSSL 1.1.1/1.0.2 的用户不受到该漏洞影响,这意味着常规Linux发行版例如 CentOS、Debain、Ubuntu 在安装系统原生软件包时不会受到影响。

更新下载链接:
https://www.openssl.org/source/

参考链接:
https://www.openssl.org/news/secadv/20220705.txt

相关推荐

基于 Linux 快速搭建企业级 DNS 服务器(Bind9 ...

一、引言在大型企业网络或自建系统中,搭建一套高可用、自控的DNS解析服务器至关重要。本文将带你基于Linux环境,从零搭建企业级DNS服务平台,采用Bind9实战配置,确保解析稳定、安...

Linux无法解析域名的解决办法(linux无法解析域名的解决办法有哪些)

如果由于误操作,删除了系统原有的dhcp相关设置就无法正常解析域名。  此时,需要手动修改配置文件:  /etc/resolv.conf  将域名解析服务器手动添加到配置文件中  该文件是DNS域名解...

在centos7 创建基于域名的虚拟主机nginx服务器

直接用ip地址访问首先是不安全,其次不太容易记住,如果你的服务器上的项目有很多个,你创建多个基于Ip的虚拟主机,很容易导致公网ip冲突或乱用的情况。这时候我们就可以选择基于域名的虚拟主机。第一步、安装...

Linux之DNS服务(linux dnsserver)

一、学习路线如下二、DNS介绍1.域名的概念域名由特定的格式组成,用来表示互联网中某一台计算机或者计算机组的名称,能够使人更方便的访问互联网,而不用记住能够被机器直接读取的IP地址。2.DNS(dom...

Linux环境下DNS服务器配置图文详细教程

测试环境为vmware虚拟机下,linux系统为RedHatEnterpriseLinuxServer6.0(Santiago),内核版本Linux2.6.32-71.el6.i686...

构建基于 Linux 的高性能 DNS 服务器

在现代网络架构中,DNS(域名解析)是访问互联网的关键环节。搭建一个高性能、低延迟、可缓存加速的私有DNS服务器,不仅可以提升访问速度,还能增强网络隐私和安全性。本文将基于Linux系统,详细...

从运维的角度带你初识neo4j图形数据库的安装及配置

前言随着公司业务架构的改变,以前我部署环境的时候,一般只是部署Mysql,jdk,tomcat即可,现在还要部署一些nosql,如redis,neo4j,在之前从来没了解过,随着学习的深入而做了一些笔...

[超全整理] Java 程序员必备的 100 条 Linux 命令大全

一、基础操作(10条)#1.ls-查看目录内容ls-l#长格式显示文件和目录ls-a#显示隐藏文件ls-lh#带单位显示文件大小#2.cd-切换目录...

软件测试|一文教你轻松搭建docker环境

前言Docker提供轻量的虚拟化,你能够从Docker获得一个额外抽象层,你能够在单台机器上运行多个Docker微容器,而每个微容器里都有一个微服务或独立应用,例如你可以将Tomcat运行在一个Do...

docker基础知识/尚硅谷docker学习笔记

最近看了好多docker的资料,找了一些尚硅谷docker的教学视频,大概总结了一下前前后后的学习笔记。分享给大家。安装Docker的基本组成镜像Docker镜像(Image)就是一个只读的模板。镜...

前端_react项目从windows部署到centos

前言:从工程角度来讲,本地开发完就要把项目部署到生产环境,此过程的快慢也直接影响着整体的效率。所以也有很多人做持续集成的工作,例如:CI/CD/一键部署。但对于个人开发者而言,如果能有工具支撑是最好的...

Springboot项目使用docker部署(docker中运行springboot项目)

环境:SpringBoot2.2.10.RELEASE+Docker+Centos7+JDK8安装配置Dockeryum包更新到最新yumupdate卸载旧版本dockeryumre...

Spring Boot 3.x + Redis 7.x,轻松掌握Redisson分布式锁实战技巧

大家好,我是袁庭新。在分布式环境中,确保数据的一致性和正确性是至关重要的。对于需要高性能、高并发和分布式数据存储的应用程序来说,Redisson是一个很好的选择。同时,Redisson提供的分布式锁功...

Docker篇(二):Docker实战,命令解析

大家好,我是杰哥上周我们通过几个问题,让大家对于Docker有了一个全局的认识。然而,说跟练往往是两个概念。从学习的角度来说,理论知识的学习,往往只是第一步,只有经过实战,才能真正掌握一门技术所以,本...

新手快速入门Docker,轻松掌握Docker安装与使用

安装使用官方安装脚本自动安装curl-fsSLhttps://get.docker.com|bash-sdocker--mirrorAliyun手动安装CentOS7(使用yum进...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表