惠普警告严重漏洞,影响多达1500万个端点

惠普警告Windows、Linux和macOS的Teradici PCoIP客户端和代理中存在新的严重安全漏洞,这些漏洞影响多达1500万个端点。

 

计算机和软件供应商发现Teradici受到最近披露的OpenSSL证书解析漏洞的影响,该漏洞 导致无限的拒绝服务循环和Expat中的多个整数溢出漏洞。

Teradici PCoIP(PC over IP)是一种专有的远程桌面协议,已授权给许多虚拟化产品供应商。2021年被惠普收购,据官网介绍,Teradici PCoIP产品部署在15,000,000个端点中,为政府机构、军事单位、游戏开发公司、广播公司、新闻机构等提供支持。

整数溢出严重

惠普在两个公告1和2中披露了10个漏洞,其中三个具有严重性(CVSS v3评分:9.8),八个属于高严重性,一个属于中等严重性。

这次修复的最重要的漏洞之一是CVE-2022-0778,这是OpenSSL中由解析恶意制作的证书触发的拒绝服务漏洞。该漏洞将导致软件无响应的循环,但考虑到产品的关键任务应用程序,这种攻击将非常具有破坏性,因为用户将不再能够远程访问设备。

另一组关键的已修复漏洞是CVE-2022-22822、CVE-2022-22823和CVE-2022-22824,它们都是libexpat中的整数溢出和无效移位问题,可能导致无法控制的资源消耗、特权提升和远程代码执行。

其余五个高严重性也是整数溢出漏洞,跟踪为CVE-2021-45960、CVE-2022-22825、CVE-2022-22826、CVE-2022-22827和CVE-2021-46143。

受上述漏洞影响的产品包括适用于Windows、Linux和macOS的PCoIP客户端、客户端SDK、图形代理和标准代理。

为了解决所有这些问题,惠普方敦促用户更新到OpenSSL 1.1.1n和libexpat 2.4.7的版本22.01.3或更高版本。

惠普于2022年4月4日至5日发布了安全更新,如果从那时起就已经更新了Teradici,是相对安全的。

OpenSSL影响

由于OpenSSL DoS漏洞的广泛部署,其影响广泛,因此虽然这不是导致灾难性攻击的缺陷,但它仍然是一个重大问题。

上个月末,威联通警告说,其大多数NAS设备都容易受到CVE-2022-0778的攻击,并敦促其用户尽快应用安全更新。

上周,Palo Alto Networks警告其VPN、XDR和防火墙产品客户,提供安全更新和缓解措施。

发表评论

评论已关闭。

相关文章