Bleeping Computer 網站披露，用于 Windows、Linux 和 macOS 的 Teradici PCoIP 客戶端和代理中存在一個安全漏洞，影響到 1500 萬個端點。

Teradici PCoIP(PC over IP)是一個授權給虛擬化產品供應商的專有遠程桌面協議，2021 年被惠普收購，此后一直在其產品上使用。據官網介紹，Teradici PCoIP 產品已部署在 1500 萬個終端上，主要支持政府機構、軍事單位、游戲開發公司、廣播公司、新聞機構等。

最近，安全研究人員發現 Teradici 受到最近披露的 OpenSSL 證書解析漏洞影響，該漏洞導致無限拒絕服務循環。

其他漏洞

最近一段時間，惠普在兩份公告中披露了十幾個漏洞，其中 3 個帶有嚴重性(CVSS v3評分：9.8)，8 個被歸類為高嚴重性，1 個中等。

這次修復是最重要的漏洞之一 CVE-2022-0778，是 OpenSSL 中由解析惡意制作證書觸發的拒絕服務漏洞。該漏洞將導致軟件無響應的循環，考慮到產品的關鍵任務應用程序，這種攻擊將非常具有破壞性，用戶將不再能夠遠程訪問設備。

另一組修復的漏洞是 CVE-2022-22822、CVE-2022-22823 和 CVE-2022-22824，都是 libexpat 中的整數溢出和無效移位問題，可能導致不可控制的資源消耗、權限提升和遠程代碼執行。

其余 5 個高危漏洞也是整數溢出漏洞，被追蹤為 CVE-2021-45960、CVE-2022-22825、CVE-2022-22826、CVE-2022-22827 和 CVE-2021-46143。受上述漏洞影響的產品包括 PCoIP 客戶端、客戶端 SDK、圖形代理和 Windows、Linux和macOS 的標準代理。

據悉，為了解決漏洞問題，惠普在 2022 年 4 月 4 日和 5 日發布了安全更新，并敦促用戶更新到 22.01.3或更高版本，新版本使用了 OpenSSL 1.1.1n 和 libexpat 2.4.7。

OpenSSL 的影響

雖然 OpenSSL DoS 漏洞不是一個災難性的缺陷，但其廣泛部署，仍然是一個重大問題。上個月末，QNAP 警告稱，其大多數 NAS 設備容易受到 CVE-2022-0778 漏洞影響，用戶應盡快應用安全更新。另外，為了避免受 OpenSSL DoS 漏洞影響，Palo Alto Networks 也為其 VPN、XDR 和防火墻產品客戶提供安全更新和緩解措施。

參考文章：https://www.bleepingcomputer.com/news/security/critical-hp-teradici-pcoip-flaws-impact-15-million-endpoints/