PT-2022-2691 · Openssl+12 · Openssl+12

Elison Niven

·

Publicado

2022-04-02

·

Atualizado

2026-04-27

·

CVE-2022-1292

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do OpenSSL 1.0.2 a 1.0.2zd
Versões do OpenSSL 1.1.1 a 1.1.1n
Versões do OpenSSL 3.0.0 a 3.0.2
Descrição
O script c rehash não sanitiza adequadamente os metacaracteres do shell para impedir a injeção de comandos. Esse script é distribuído por alguns sistemas operacionais de forma a ser executado automaticamente. Nesses sistemas operacionais, um invasor poderia executar comandos arbitrários com os privilégios do script. O uso do script c rehash é considerado obsoleto e deve ser substituído pela ferramenta de linha de comando rehash do OpenSSL.
Recomendações
Para as versões 1.0.2 a 1.0.2zd do OpenSSL, atualize para a versão 1.0.2ze.
Para as versões 1.1.1 a 1.1.1n do OpenSSL, atualize para a versão 1.1.1o.
Para as versões 3.0.0 a 3.0.2 do OpenSSL, atualize para a versão 3.0.3.
Como solução temporária, considere desativar o script c rehash até que um patch esteja disponível.
Restrinja o acesso ao script vulnerável para minimizar o risco de exploração.

Exploit

Correção

DoS

Command Injection

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-77CWE-78

Identificadores relacionados

ALSA-2022:5818
ALSA-2022:6224
ALSA-2022_5818
ALSA-2022_6224
ALSA-2022_7464
ALSA-2022_7970
ALSA-2023_4350
ALSA-2023_4520
ALSA-2023_7034
ALSA-2023_7042
ALSA-2023_7050
ALSA-2023_7877
ALSA-2024_0888
ALSA-2024_1444
ALSA-2024_2264
ALSA-2024_2447
ALSA-2024_3017
ALSA-2024_5297
ALSA-2024_9088
ALSA-2025_16880
ALSA-2025_7895
ALSA-2025_7937
ALT-PU-2022-2132
ALT-PU-2022-2139
ALT-PU-2022-2552
ALT-PU-2022-3072
ALT-PU-2022-3102
ALT-PU-2023-1299
ALT-PU-2023-1912
AZL-41748
AZL-9649
BDU:2022-03181
CESA-2022_5818
CVE-2022-1292
DLA-3008-1
DSA-5139-1
ELSA-2022-5818
ELSA-2022-6224
JLSEC-2026-228
JLSEC-2026-229
MGASA-2022-0173
OESA-2022-1673
OESA-2022-1898
OESA-2022-1951
OPENSUSE-SU-2022_2251-1
OPENSUSE-SU-2022_2306-1
OPENSUSE-SU-2022_2308-1
OPENSUSE-SU-2022_2321-1
OPENSUSE-SU-2024:12138-1
OPENSUSE-SU-2024:12178-1
OPENSUSE-SU-2024:12204-1
RHSA-2022:5818
RHSA-2022:6224
RHSA-2022:8840
RHSA-2022:8917
RHSA-2022_5818
RHSA-2022_6224
RHSA-2023:5931
RHSA-2023:5979
RHSA-2023:5980
RHSA-2023:5982
RHSA-2023:6818
RLSA-2022:5818
RLSA-2022_5818
RLSA-2023:6818
RLSA-2023_6818
SUSE-SU-2022:2068-1
SUSE-SU-2022:2075-1
SUSE-SU-2022:2098-1
SUSE-SU-2022:2106-1
SUSE-SU-2022:2182-1
SUSE-SU-2022:2197-1
SUSE-SU-2022:2251-1
SUSE-SU-2022:2251-2
SUSE-SU-2022:2306-1
SUSE-SU-2022:2308-1
SUSE-SU-2022:2321-1
SUSE-SU-2022_2068-1
SUSE-SU-2022_2075-1
SUSE-SU-2022_2098-1
SUSE-SU-2022_2106-1
SUSE-SU-2022_2182-1
SUSE-SU-2022_2197-1
SUSE-SU-2022_2251-1
SUSE-SU-2022_2306-1
SUSE-SU-2022_2308-1
SUSE-SU-2022_2321-1
USN-5402-1
USN-5402-2
USN-6457-1
USN-7018-1
USN-7060-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Ibm Aix
Linuxmint
Mysql Server
Openssl
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu