惠普 Teradici PCoIP 受漏洞影响, 波及1500万个端点

安全 漏洞
最近,安全研究人员发现 Teradici 受到最近披露的 OpenSSL 证书解析漏洞影响,该漏洞导致无限拒绝服务循环。

Bleeping Computer 网站披露,用于 Windows、Linux 和 macOS 的 Teradici PCoIP 客户端和代理中存在一个安全漏洞,影响到 1500 万个端点。

Teradici PCoIP(PC over IP)是一个授权给虚拟化产品供应商的专有远程桌面协议,2021 年被惠普收购,此后一直在其产品上使用。据官网介绍,Teradici PCoIP 产品已部署在 1500 万个终端上,主要支持政府机构、军事单位、游戏开发公司、广播公司、新闻机构等。

最近,安全研究人员发现 Teradici 受到最近披露的 OpenSSL 证书解析漏洞影响,该漏洞导致无限拒绝服务循环。

其他漏洞

最近一段时间,惠普在两份公告中披露了十几个漏洞,其中 3 个带有严重性(CVSS v3评分:9.8),8 个被归类为高严重性,1 个中等。

这次修复是最重要的漏洞之一 CVE-2022-0778,是 OpenSSL 中由解析恶意制作证书触发的拒绝服务漏洞。该漏洞将导致软件无响应的循环,考虑到产品的关键任务应用程序,这种攻击将非常具有破坏性,用户将不再能够远程访问设备。

另一组修复的漏洞是 CVE-2022-22822、CVE-2022-22823 和 CVE-2022-22824,都是 libexpat 中的整数溢出和无效移位问题,可能导致不可控制的资源消耗、权限提升和远程代码执行。

其余 5 个高危漏洞也是整数溢出漏洞,被追踪为 CVE-2021-45960、CVE-2022-22825、CVE-2022-22826、CVE-2022-22827 和 CVE-2021-46143。受上述漏洞影响的产品包括 PCoIP 客户端、客户端 SDK、图形代理和 Windows、Linux和macOS 的标准代理。

据悉,为了解决漏洞问题,惠普在 2022 年 4 月 4 日和 5 日发布了安全更新,并敦促用户更新到 22.01.3或更高版本,新版本使用了 OpenSSL 1.1.1n 和 libexpat 2.4.7。

OpenSSL 的影响

虽然 OpenSSL DoS 漏洞不是一个灾难性的缺陷,但其广泛部署,仍然是一个重大问题。上个月末,QNAP 警告称,其大多数 NAS 设备容易受到 CVE-2022-0778 漏洞影响,用户应尽快应用安全更新。另外,为了避免受 OpenSSL DoS 漏洞影响,Palo Alto Networks 也为其 VPN、XDR 和防火墙产品客户提供安全更新和缓解措施。

参考文章:https://www.bleepingcomputer.com/news/security/critical-hp-teradici-pcoip-flaws-impact-15-million-endpoints/

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2022-08-24 12:34:03

超过8万台海康威视摄

2017-03-09 20:57:26

2022-05-30 12:50:12

微软Android漏洞

2020-05-15 11:04:15

漏洞数据泄露攻击

2019-01-11 09:30:42

2011-06-07 18:42:52

2022-04-14 16:37:50

漏洞网络攻击插件

2021-12-22 13:52:40

Log4j漏洞谷歌

2022-05-27 17:30:46

漏洞网络攻击

2024-02-18 17:07:00

2015-11-11 10:18:24

2023-05-08 19:28:11

2013-01-29 16:34:29

2009-10-29 13:32:05

漏洞

2022-07-04 11:16:12

Jenkins服务器安全缺陷

2009-07-29 12:30:33

2022-02-22 10:40:27

漏洞网络攻击

2022-09-23 00:09:48

项目Python漏洞

2013-06-24 11:40:00

Facebook用户信息泄露

2021-05-09 10:25:07

漏洞Remote MousMouse Trap
点赞
收藏

51CTO技术栈公众号