惠普警告严重漏洞，影响多达1500万个端点

惠普警告Windows、Linux和macOS的Teradici PCoIP客户端和代理中存在新的严重安全漏洞，这些漏洞影响多达1500万个端点。

计算机和软件供应商发现Teradici受到最近披露的OpenSSL证书解析漏洞的影响，该漏洞 导致无限的拒绝服务循环和Expat中的多个整数溢出漏洞。

Teradici PCoIP（PC over IP）是一种专有的远程桌面协议，已授权给许多虚拟化产品供应商。2021年被惠普收购，据官网介绍，Teradici PCoIP产品部署在15,000,000个端点中，为政府机构、军事单位、游戏开发公司、广播公司、新闻机构等提供支持。

整数溢出严重

惠普在两个公告1和2中披露了10个漏洞，其中三个具有严重性（CVSS v3评分：9.8），八个属于高严重性，一个属于中等严重性。

这次修复的最重要的漏洞之一是CVE-2022-0778，这是OpenSSL中由解析恶意制作的证书触发的拒绝服务漏洞。该漏洞将导致软件无响应的循环，但考虑到产品的关键任务应用程序，这种攻击将非常具有破坏性，因为用户将不再能够远程访问设备。

另一组关键的已修复漏洞是CVE-2022-22822、CVE-2022-22823和CVE-2022-22824，它们都是libexpat中的整数溢出和无效移位问题，可能导致无法控制的资源消耗、特权提升和远程代码执行。

其余五个高严重性也是整数溢出漏洞，跟踪为CVE-2021-45960、CVE-2022-22825、CVE-2022-22826、CVE-2022-22827和CVE-2021-46143。

受上述漏洞影响的产品包括适用于Windows、Linux和macOS的PCoIP客户端、客户端SDK、图形代理和标准代理。

为了解决所有这些问题，惠普方敦促用户更新到OpenSSL 1.1.1n和libexpat 2.4.7的版本22.01.3或更高版本。

惠普于2022年4月4日至5日发布了安全更新，如果从那时起就已经更新了Teradici，是相对安全的。

OpenSSL影响

由于OpenSSL DoS漏洞的广泛部署，其影响广泛，因此虽然这不是导致灾难性攻击的缺陷，但它仍然是一个重大问题。

上个月末，威联通警告说，其大多数NAS设备都容易受到CVE-2022-0778的攻击，并敦促其用户尽快应用安全更新。

上周，Palo Alto Networks警告其VPN、XDR和防火墙产品客户，提供安全更新和缓解措施。