聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

惠普提醒称，Teradici PCoIP 客户端和代理（Windows、Linux 和 macOS 版本）中存在一个严重漏洞，影响1500个端点。

惠普发现，Teradici 受最近披露的 OpenSSL 证书解析漏洞影响。该漏洞可触发Expat 中的无限拒绝服务循环和多个整数溢出漏洞。Teradici PCoIP 是一个专有的远程桌面服务，已向很多虚拟化产品厂商发放许可，惠普于2021年将其收购并用于自家产品中。

从官方网站来看，Teradici PCoIP 产品部署在1500万个端点中，为政府机构、军队、游戏开发企业、广播企业、新闻组织机构等提供支持。

严重的整数溢出漏洞

惠普发布安全公告，披露了10个漏洞，其中3个是严重等级（CVSS v3评分9.8），8个为高危漏洞，1个为中危漏洞。

本次惠普修复的一个最严重漏洞是CVE-2022-0778，是位于OpenSSL 中的拒绝服务缺陷，可由解析恶意构造的证书触发。该漏洞将触发一个循环，导致该软件无法响应；考虑到该产品发挥的重要作用，此类攻击将具有非常大的破坏作用，因为用户将无法远程访问设备。

惠普修复的其它多个严重漏洞是CVE-2022-22822、CVE-2022-22823和CVE-2022-22824，它们都是位于libexpat 中的整数溢出和无效转换问题，可能导致不受控制的资源耗尽、提权和远程代码执行问题。

余下的5个高危漏洞也属于整数溢出漏洞，它们是CVE-2021-45960、CVE-2022-22825、CVE-2022-22826、CVE-2022-22827和CVE-2021-46143。

受上述漏洞影响的惠普产品包括 PCoIP 客户端，客户端SDK，Graphics Agent，和Windows、Linux 和 macOS 的Standard Agent。为了解决所有问题，用户应更新至版本22.01.3或使用OpenSSL 1.1.1n和libexpat 2.4.7 的后续版本。

惠普在2022年4月4日和5日发布安全更新，如用户在该更新发布后已更新 Teradici，则是安全的。

OpenSSL 漏洞影响

该OpenSSL 拒绝服务漏洞影响广泛，虽然它并非可导致灾难性攻击后果的漏洞，但鉴于OpenSSL 部署广泛，因此仍然是一个严重漏洞。

上个月晚些时候，QNAP 提醒称，多数NAS 设备易受CVE-2022-0778影响并督促用户尽快应用安全更新。上周，Palo Alto 公司提醒称，其VPN、XDR和防火墙产品客户应尽快应用安全更新，并提出了相关缓解措施。

---

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

---

推荐阅读

在线阅读版：《2021中国软件供应链安全分析报告》全文

OpenSSL 修复高危的无限循环漏洞

OpenSSL 高危漏洞可被用于修改应用数据

速修复！OpenSSL 披露DoS 和证书验证高危漏洞，可导致服务器崩溃

OpenSSL 修复三个新漏洞

OpenSSL 修复可导致 DoS攻击的高危漏洞

原文链接

https://www.bleepingcomputer.com/news/security/critical-hp-teradici-pcoip-flaws-impact-15-million-endpoints/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~