惠普警告严重漏洞，影响多达1500万个端点

计算机和软件供应商发现 Teradici 受到最近披露的 OpenSSL 证书解析漏洞的影响，该漏洞 导致无限的拒绝服务循环和 Expat 中的多个整数溢出漏洞。

Teradici PCoIP（PC over IP）是一种专有的远程桌面协议，已授权给许多虚拟化产品供应商。2021 年被惠普收购，据官网介绍，Teradici PCoIP 产品部署在 15,000,000 个端点中，为政府机构、军事单位、游戏开发公司、广播公司、新闻机构等提供支持。

整数溢出严重

        惠普在两个公告 1 和 2 中披露了 10 个漏洞，其中三个具有严重性（CVSS v3 评分：9.8），八个属于高严重性，一个属于中等严重性。

        这次修复的最重要的漏洞之一是 CVE-2022-0778，这是 OpenSSL 中由解析恶意制作的证书触发的拒绝服务漏洞。该漏洞将导致软件无响应的循环，但考虑到产品的关键任务应用程序，这种攻击将非常具有破坏性，因为用户将不再能够远程访问设备。

        另一组关键的已修复漏洞是 CVE-2022-22822、CVE-2022-22823 和 CVE-2022-22824，它们都是 libexpat 中的整数溢出和无效移位问题，可能导致无法控制的资源消耗、特权提升和远程代码执行。

        其余五个高严重性也是整数溢出漏洞，跟踪为 CVE-2021-45960、CVE-2022-22825、CVE-2022-22826、CVE-2022-22827 和 CVE-2021-46143。

        受上述漏洞影响的产品包括适用于 Windows、Linux 和 macOS 的 PCoIP 客户端、客户端 SDK、图形代理和标准代理。

        为了解决所有这些问题，惠普方敦促用户更新到 OpenSSL 1.1.1n 和 libexpat 2.4.7 的版本 22.01.3 或更高版本。

        惠普于 2022 年 4 月 4 日至 5 日发布了安全更新，如果从那时起就已经更新了 Teradici，是相对安全的。

OpenSSL 影响

        由于 OpenSSL DoS 漏洞的广泛部署，其影响广泛，因此虽然这不是导致灾难性攻击的缺陷，但它仍然是一个重大问题。

        上个月末，威联通警告说，其大多数 NAS 设备都容易受到 CVE-2022-0778 的攻击，并敦促其用户尽快应用安全更新。

        上周，Palo Alto Networks 警告其 VPN、XDR 和防火墙产品客户，提供安全更新和缓解措施。