惠普 Teradici PCoIP 受漏洞影響, 波及1500萬個端點
Bleeping Computer 網(wǎng)站披露,用于 Windows、Linux 和 macOS 的 Teradici PCoIP 客戶端和代理中存在一個安全漏洞,影響到 1500 萬個端點。
Teradici PCoIP(PC over IP)是一個授權(quán)給虛擬化產(chǎn)品供應(yīng)商的專有遠程桌面協(xié)議,2021 年被惠普收購,此后一直在其產(chǎn)品上使用。據(jù)官網(wǎng)介紹,Teradici PCoIP 產(chǎn)品已部署在 1500 萬個終端上,主要支持政府機構(gòu)、軍事單位、游戲開發(fā)公司、廣播公司、新聞機構(gòu)等。
最近,安全研究人員發(fā)現(xiàn) Teradici 受到最近披露的 OpenSSL 證書解析漏洞影響,該漏洞導(dǎo)致無限拒絕服務(wù)循環(huán)。
其他漏洞
最近一段時間,惠普在兩份公告中披露了十幾個漏洞,其中 3 個帶有嚴重性(CVSS v3評分:9.8),8 個被歸類為高嚴重性,1 個中等。
這次修復(fù)是最重要的漏洞之一 CVE-2022-0778,是 OpenSSL 中由解析惡意制作證書觸發(fā)的拒絕服務(wù)漏洞。該漏洞將導(dǎo)致軟件無響應(yīng)的循環(huán),考慮到產(chǎn)品的關(guān)鍵任務(wù)應(yīng)用程序,這種攻擊將非常具有破壞性,用戶將不再能夠遠程訪問設(shè)備。
另一組修復(fù)的漏洞是 CVE-2022-22822、CVE-2022-22823 和 CVE-2022-22824,都是 libexpat 中的整數(shù)溢出和無效移位問題,可能導(dǎo)致不可控制的資源消耗、權(quán)限提升和遠程代碼執(zhí)行。
其余 5 個高危漏洞也是整數(shù)溢出漏洞,被追蹤為 CVE-2021-45960、CVE-2022-22825、CVE-2022-22826、CVE-2022-22827 和 CVE-2021-46143。受上述漏洞影響的產(chǎn)品包括 PCoIP 客戶端、客戶端 SDK、圖形代理和 Windows、Linux和macOS 的標準代理。
據(jù)悉,為了解決漏洞問題,惠普在 2022 年 4 月 4 日和 5 日發(fā)布了安全更新,并敦促用戶更新到 22.01.3或更高版本,新版本使用了 OpenSSL 1.1.1n 和 libexpat 2.4.7。
OpenSSL 的影響
雖然 OpenSSL DoS 漏洞不是一個災(zāi)難性的缺陷,但其廣泛部署,仍然是一個重大問題。上個月末,QNAP 警告稱,其大多數(shù) NAS 設(shè)備容易受到 CVE-2022-0778 漏洞影響,用戶應(yīng)盡快應(yīng)用安全更新。另外,為了避免受 OpenSSL DoS 漏洞影響,Palo Alto Networks 也為其 VPN、XDR 和防火墻產(chǎn)品客戶提供安全更新和緩解措施。
參考文章:https://www.bleepingcomputer.com/news/security/critical-hp-teradici-pcoip-flaws-impact-15-million-endpoints/