此安全公告針對影響 TN-5900 系列的多個 OpenSSL 安全漏洞(CVE-2022-4304、CVE-2023-0215 和 CVE-2023-0286)提供修補建議與解決方案。這些安全漏洞帶來巨大的安全風險,例如:透過基於時序的旁通道攻擊來恢復明文、不當的記憶體管理導致記憶體損毀,以及類型混淆安全漏洞,所導致未經授權的記憶體存取或阻斷服務攻擊(DoS)。
已確認的安全漏洞類型和潛在影響
| 項目 |
安全漏洞類型 |
影響 |
| 1 |
可觀察的差異(CWE-203)
CVE-2022-4304
|
在收集到足夠多的訊息後,攻擊者便可恢復用於建立原始連接的前置主密鑰(pre-master secret),再解密透過該連接所傳送的應用資料。 |
| 2 |
使用已釋放的記憶體(CWE-416)
CVE-2023-0215 |
當記憶體區塊被釋放後,如果呼叫者仍然對 BIO 呼叫 BIO_pop(),則會發生使用已釋放的記憶體(use-after-free)漏洞。這很可能會導致當機。 |
| 3 |
使用不相容的類型存取資源('Type Confusion')(CWE-843)
CVE-2023-0286 |
攻擊者可利用此漏洞,將任意指標傳遞給 memcmp 函數,以便讀取記憶體內容或發動阻斷服務攻擊(DoS)。 |
安全漏洞評分詳情
|
ID
|
評分
|
向量
|
嚴重性 |
未經認證的遠端攻擊
|
| CVE-2022-4304 |
5.9
|
AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
|
中 |
是 |
| CVE-2023-0215 |
7.5 |
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
高 |
是 |
| CVE-2023-0286 |
7.4 |
AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H |
高 |
是 |