中文
注册
我要评分
文档获取效率
文档正确性
内容完整性
文档易理解
在线提单
论坛求助

Kunpeng BoostKit 22.0.0.SPC5

Python CVE-2023-24329漏洞

问题单号

DTS:DTS2023022800343

漏洞编号:HWPSIRT-2023-87253

问题描述

该产品使用了Python 3.9.11中的一个安全漏洞,其外部漏洞编号为CVE-2023-24329。该漏洞为Python v3.11之前的urllib.parse组件中的一个问题允许攻击者通过提供以空白字符开头的URL来绕过阻止列表方法。

严重级别

严重

根因分析

产品使用的Python 3.9.11存在漏洞CVE-2023-24329。

解决方案

使用已修复该漏洞的Python。

修改影响

测试建议

获得版本构建使用的Python的tag,对比tag修复漏洞列表,其中包含CVE-2023-24329漏洞则证明已修复该漏洞。

OpenSSL CVE-2023-0466漏洞

问题单号

DTS:DTS2023032900875

漏洞编号:HWPSIRT-2023-01784

问题描述

该产品使用了OpenSSL 1.1.1n中的一个安全漏洞,其外部漏洞编号为CVE-2023-0466。该漏洞为OpenSSL函数X509_VERIFY_PARAM_add0_policy()在执行证书验证时隐式启用证书策略检查。但是,该函数的实现并未启用允许策略无效或错误的证书通过证书验证的检查。

严重级别

一般

根因分析

产品使用的OpenSSL 1.1.1n存在漏洞CVE-2023-0466。

解决方案

使用已修复该漏洞的OpenSSL。

修改影响

测试建议

获得版本构建使用的OpenSSL 1.1.1n的tag,对比tag修复漏洞列表,其中包含CVE-2023-0466漏洞则证明已修复该漏洞。

OpenSSL CVE-2023-0465漏洞

问题单号

DTS:DTS2023032900875

漏洞编号:HWPSIRT-2023-59373

问题描述

该产品使用了OpenSSL 1.1.1n中的一个安全漏洞,其外部漏洞编号为CVE-2023-0465。该漏洞为OpenSSL将以静默方式忽略叶证书中的无效证书策略,并跳过该证书的其他证书策略检查。恶意CA可以使用此功能故意声明无效的证书策略,以完全规避对证书的策略检查。

严重级别

一般

根因分析

产品使用的OpenSSL 1.1.1n存在漏洞CVE-2023-0465。

解决方案

使用已修复该漏洞的OpenSSL。

修改影响

测试建议

获得版本构建使用的OpenSSL 1.1.1n的tag,对比tag修复漏洞列表,其中包含CVE-2023-0465漏洞则证明已修复该漏洞。

OpenSSL CVE-2023-0464漏洞

问题单号

DTS:DTS2023032300520

漏洞编号:HWPSIRT-2023-10355

问题描述

该产品使用了OpenSSL 1.1.1n中的一个安全漏洞,其外部漏洞编号为CVE-2023-0464。该漏洞为OpenSSL发现与验证包含策略约束的X.509证书链相关的安全漏洞,攻击者可能通过创建恶意证书链来利用此漏洞,该证书链触发计算资源的指数使用,从而导致对受影响系统的拒绝服务(DoS)攻击。

严重级别

一般

根因分析

产品使用的OpenSSL 1.1.1n存在漏洞CVE-2023-0464。

解决方案

使用已修复该漏洞的OpenSSL。

修改影响

测试建议

获得版本构建使用的OpenSSL 1.1.1n的tag,对比tag修复漏洞列表,其中包含CVE-2023-0464漏洞则证明已修复该漏洞。

OpenSSL CVE-2023-0215漏洞

问题单号

DTS:DTS2023020815039

漏洞编号:HWPSIRT-2023-62461

问题描述

该产品使用了OpenSSL 1.1.1n中的一个安全漏洞,其外部漏洞编号为CVE-2023-0215。该漏洞为OpenSSL内部函数BIO_new_NDEF存在使用释放后内存导致崩溃的问题,受影响接口有i2d_ASN1_bio_stream, BIO_new_CMS, BIO_new_PKCS7, i2d_CMS_bio_stream and i2d_PKCS7_bio_stream。

严重级别

严重

根因分析

产品使用的OpenSSL 1.1.1n存在漏洞CVE-2023-0215。

解决方案

使用已修复该漏洞的OpenSSL。

修改影响

测试建议

获得版本构建使用的OpenSSL 1.1.1n的tag,对比tag修复漏洞列表,其中包含CVE-2023-0215漏洞则证明已修复该漏洞。

OpenSSL CVE-2022-4304漏洞

问题单号

DTS:DTS2023020815039

漏洞编号:HWPSIRT-2023-25691

问题描述

该产品使用了OpenSSL 1.1.1n中的一个安全漏洞,其外部漏洞编号为CVE-2022-4304。该漏洞为OpenSSL RSA解密实现中存在基于时间的侧信道,这可能足以在Bleichenbacher风格的攻击中恢复网络上的明文,要成功解密,攻击者必须能够发送大量的试用消息进行解密。

严重级别

严重

根因分析

产品使用的OpenSSL 1.1.1n存在漏洞CVE-2022-4304。

解决方案

使用已修复该漏洞的OpenSSL。

修改影响

测试建议

获得版本构建使用的OpenSSL 1.1.1n的tag,对比tag修复漏洞列表,其中包含CVE-2022-4304漏洞则证明已修复该漏洞。

OpenSSL CVE-2023-0286漏洞

问题单号

DTS:DTS2023020815039

漏洞编号:HWPSIRT-2023-46765

问题描述

该产品使用了OpenSSL 1.1.1n中的一个安全漏洞,其外部漏洞编号为CVE-2023-0286。该漏洞为OpenSSLX.509 GeneralName中存在与X.400地址处理相关的类型混淆漏洞,此漏洞很可能仅影响已实现自己通过网络检索CRL功能的应用程序。

严重级别

严重

根因分析

产品使用的OpenSSL 1.1.1n存在漏洞CVE-2023-0286。

解决方案

使用已修复该漏洞的OpenSSL。

修改影响

测试建议

获得版本构建使用的OpenSSL 1.1.1n的tag,对比tag修复漏洞列表,其中包含CVE-2023-0286漏洞则证明已修复该漏洞。

OpenSSL CVE-2022-4450漏洞

问题单号

DTS:DTS2023020815039

漏洞编号:HWPSIRT-2023-92182

问题描述

该产品使用了OpenSSL 1.1.1n中的一个安全漏洞,其外部漏洞编号为CVE-2022-4450。该漏洞为函数PEM_read_bio_ex()从BIO中读取PEM文件在该文件产生0字节的有效负载数据。在这种情况下,PEM_read_bio_ex()将返回失败代码,但将使用指向已释放缓冲区的指针填充头参数。如果调用者也释放了此缓冲区,则将发生双重释放。函数PEM_read_bio()和PEM_read(),PEM_X509_INFO_read_bio_ex()和SSL_CTX_use_serverinfo_file()受该漏洞影响

严重级别

严重

根因分析

产品使用的OpenSSL 1.1.1n存在漏洞CVE-2022-4450。

解决方案

使用已修复该漏洞的OpenSSL。

修改影响

测试建议

获得版本构建使用的OpenSSL 1.1.1n的tag,对比tag修复漏洞列表,其中包含CVE-2022-4450漏洞则证明已修复该漏洞。