【安全漏洞公告】 SUSE Linux Enterprise Server 安全漏洞(CNNVD-202302-1900)
一、漏洞簡介
|
CVE ID
|
CVE-2023-0567
|
公開日期
|
2023-03-13
|
|
危害級別
|
中危
|
攻擊復雜程度
|
低
|
|
POC/EXP
|
已公開
|
攻擊途徑
|
遠程網絡
|
�����
SUSE Linux Enterprise Server是德國SUSE公司的一套企業服務器版Linux操作系統。
�������
SUSE存在安全漏洞,該漏洞源于BCrypt 哈希錯誤驗證,當對于格式錯誤的BCrypt散列如果在其salt部分中包含$,將觸發緩沖區過度讀取,并可能導致將任何密碼驗證為有效,威脅者可以通過將此類無效散列存儲在數據庫中(如通過SQL注入等),則可能導致無需密碼即可登錄。
二、影響范圍
PHP版本<= 8.0.28
PHP版本<= 8.1.16
8.2.x <= PHP版本<= 8.2.3
三、解決措施
������
目前官方已在最新版本中修復了該漏洞,請受影響的用戶盡快升級版本進行防護,最新版本下載鏈接如下:
PHP 8.0.x 用戶:升級到補丁版本8.0.28或更高版本;
PHP 8.1.x用戶:升級到補丁版本8.1.16或更高版本;
PHP 8.2.x用戶:升級到補丁版本8.2.3或更高版本。
//github.com/php/php-src/tags
四、參考鏈接
//bugs.php.net/bug.php?id=81744
�������
//github.com/php/php-src/security/advisories/GHSA-7fj2-8x79-rjf4
//www.auscert.org.au/bulletins/ESB-2023.1293
//cxsecurity.com/cveshow/CVE-2023-0567/
//www.auscert.org.au/bulletins/ESB-2023.1145
