鲲鹏社区首页
中文
注册
开发者
支持
我要评分
文档获取效率
文档正确性
内容完整性
文档易理解
提交
在线提单
论坛求助

22.0.0.SPC6

本节介绍Kunpeng BoostKit 22.0.0.SPC6 机密计算TrustZone套件补丁解决的问题。

问题单号

DTS:DTS2023053101061

漏洞编号:HWPSIRT-2023-33676

问题描述

条件:OpenSSL直接使用使用不受信任的数据调用OBJ_obj2txt函数。

现象:导致应用程序拒绝服务。

影响:应用程序拒绝服务。

该产品使用了OpenSSL 1.1.1n中的1个安全漏洞,其外部漏洞编码(CVE)为:CVE-2023-2650。

严重级别

严重

根因分析

OpenSSL受影响版本中由于将对象标识符转换为十进制数的文本形式时的时间复杂度为O(n^2),因此当处理具有非常大的子标识符的ASN.1对象标识符时容易受到拒绝服务的影响导致应用程序无响应。

解决方案

开源组件合入漏洞修复补丁,更新TEE OS固件。

修改影响

缺陷修复,对其他无影响。

测试用例ID
  1. 在合入OpenSSL开源漏洞patch后,使用OpenSSL官方提供的测试套测试该开源漏洞是否修复。
  2. 产品确认平台引入的开源组件已合入该漏洞patch。
父主题: 解决的问题