惠普警告 Windows、Linux 和 macOS 的 Teradici PCoIP 客户端和代理中存在新的严重安全漏洞,这些漏洞会影响 1500 万个端点。
计算机和软件供应商发现 Teradici 受到最近披露的 OpenSSL 证书解析漏洞的影响,该漏洞 导致无限的拒绝服务循环和 Expat 中的多个整数溢出漏洞。
Teradici PCoIP(PC over IP)是一种专有的远程桌面协议,已授权给许多虚拟化产品供应商, 于 2021 年被惠普收购,并从那时起用于自己的产品。
据官网介绍,Teradici PCoIP 产品部署在 15,000,000 个端点中,为政府机构、军事单位、游戏开发公司、广播公司、新闻机构等提供支持。
严重整数溢出
惠普在两个公告(1、2)中披露了 10个漏洞,其中三个具有严重严重性(CVSS v3 评分:9.8),八个属于高严重性,一个属于中等严重性。
这次修复的最重要的漏洞之一是CVE-2022-0778,这是 OpenSSL 中由解析恶意制作的证书触发的拒绝服务漏洞。
该漏洞将导致导致软件无响应的循环,但考虑到产品的关键任务应用程序,这种攻击将非常具有破坏性,因为用户将不再能够远程访问设备。
另一组关键的已修复漏洞是CVE-2022-22822、CVE-2022-22823和CVE-2022-22824,它们都是 libexpat 中的整数溢出和无效移位问题,可能导致无法控制的资源消耗、特权提升和远程代码执行。
其余五个高严重性也是整数溢出漏洞,跟踪为 CVE-2021-45960、CVE-2022-22825、CVE-2022-22826、CVE-2022-22827 和 CVE-2021-46143。
受上述漏洞影响的产品包括适用于 Windows、Linux 和 macOS 的 PCoIP 客户端、客户端 SDK、图形代理和标准代理。
为了解决所有这些问题,我们敦促用户更新到使用 OpenSSL 1.1.1n 和 libexpat 2.4.7 的版本 22.01.3 或更高版本。
惠普于 2022 年 4 月 4 日至 5 日发布了安全更新,因此如果您从那时起已经更新了 Teradici,那么您是安全的。
OpenSSL 影响
由于 OpenSSL DoS 漏洞的广泛部署,其影响广泛,因此虽然这不是导致灾难性攻击的缺陷,但它仍然是一个重大问题。
上个月末,QNAP 警告说,其大多数 NAS 设备都容易受到 CVE-2022-0778 的攻击,并敦促其用户尽快应用安全更新。
上周,Palo Alto Networks 警告其 VPN、XDR 和防火墙产品客户,提供安全更新和缓解措施。
推荐阅读
免费试用尝鲜
贴心会员服务
服务可用性
数据安全保障
全年不间断在线
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
