TN-5900 系列存在多个 OpenSSL 漏洞,包括 CVE-2022-4304、CVE-2023-0215 和 CVE-2023-0286。这些漏洞带来了重大安全风险,例如,利用时序侧信道攻击进行明文恢复,内存管理不当导致内存损坏,类型混淆漏洞可能引发未经授权的内存访问或拒绝服务攻击。
确定的漏洞类型和潜在影响如下所示:
| 序号 |
漏洞类型 |
影响 |
| 1 |
可观察到的差异 (CWE-203)
CVE-2022-4304
|
攻击者通过截取足够多的信息,可恢复原始连接的预主密钥,从而解密通过该连接传输的应用数据。
|
| 2 |
释放后使用 (CWE-416)
CVE-2023-0215
|
如果调用者对 BIO 对象执行 BIO_pop() 操作,将触发释放后重用问题。这极有可能引发系统崩溃。
|
| 3 |
使用不兼容类型访问资源(“类型混淆”)(CWE-843)
CVE-2023-0286
|
攻击者可抓住这一漏洞,将任意指针传递给 memcmp 调用,进而读取内存内容或发起拒绝服务。
|
漏洞评分信息
|
ID
|
基础得分
|
漏洞载体
|
严重程度
|
是否无需身份验证即可远程利用漏洞
|
| CVE-2022-4304 |
5.9
|
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
|
中等 |
是 |
| CVE-2023-0215 |
7.5
|
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
|
高 |
是 |
| CVE-2023-0286 |
7.4
|
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
|
高 |
是 |