PT-2022-3287 · Openssl · Openssl
Xi Ruoyao
·
Publicado
2022-07-01
·
Atualizado
2024-06-15
·
CVE-2022-2274
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
OpenSSL versão 3.0.4
Descrição
O problema está relacionado a um grave bug na implementação RSA para CPUs X86 64 que suportam as instruções AVX512IFMA. Esse bug torna incorreta a implementação RSA com chaves privadas de 2048 bits nessas máquinas, levando à corrupção de memória durante o cálculo. Como consequência da corrupção de memória, um invasor pode ser capaz de desencadear uma execução remota de código na máquina que está realizando o cálculo. Servidores SSL/TLS ou outros servidores que utilizam chaves privadas RSA de 2048 bits em execução em máquinas que suportam as instruções AVX512IFMA da arquitetura X86 64 são afetados por este problema.
Recomendações
Para a versão 3.0.4 do OpenSSL, atualize para a versão 3.0.5 para corrigir o problema.
Como solução alternativa temporária, considere desativar o uso de chaves privadas RSA de 2048 bits em máquinas que suportam instruções AVX512IFMA da arquitetura X86 64 até que um patch esteja disponível.
Restrinja o acesso a servidores SSL/TLS ou outros servidores que utilizam chaves privadas RSA de 2048 bits em execução em máquinas que suportam instruções AVX512IFMA da arquitetura X86 64 para minimizar o risco de exploração.
Exploit
Correção
RCE
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Openssl