PT-2022-3301 · Openssl+10 · Openssl+10
Chancen
·
Publicado
2022-06-21
·
Atualizado
2026-04-27
·
CVE-2022-2068
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do OpenSSL 3.0.0 a 3.0.3
Versões do OpenSSL 1.1.1 a 1.1.1o
Versões do OpenSSL 1.0.2 a 1.0.2ze
Descrição
O problema está relacionado à criptografia inadequada e a um possível estouro de buffer, permitindo que um invasor remoto obtenha informações confidenciais ou execute código arbitrário. Isso pode ser feito enviando solicitações especialmente criadas, potencialmente durante o estabelecimento de uma conexão TLS. O script c rehash também é afetado, permitindo a injeção de comandos devido à sanitização inadequada de metacaracteres do shell.
Recomendações
Para as versões do OpenSSL 3.0.0 a 3.0.3, atualize para a versão 3.0.4 para resolver o problema.
Para as versões do OpenSSL 1.1.1 a 1.1.1o, atualize para a versão 1.1.1p para resolver o problema.
Para as versões 1.0.2 a 1.0.2ze do OpenSSL, atualize para a versão 1.0.2zf para resolver o problema.
Como solução alternativa temporária, considere substituir o uso do script c rehash pela ferramenta de linha de comando rehash do OpenSSL para minimizar o risco de injeção de comando.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Ibm Aix
Linuxmint
Openssl
Red Hat
Rocky Linux
Suse
Ubuntu