1.漏洞描述 EDK II是用于UEFI和PI规范的现代、功能丰富的跨平台固件开发环境。 在PKCS7签名或签名和信封数据上验证签名时，可以取消引用NULL指针。如果OpenSSL库已知用于签名的哈希算法，但哈希算法的实现不可用，则摘要初始化将失败。缺少对初始化函数返回值的检查，这将导致摘要API的无效使用，很可能导致崩溃。算法的不可用可能是由于使用启用FIPS的提供程序配置而导致的，或者更常见的原因是未加载旧版提供程序。PKCS7数据由SMIME库调用和时间戳（TS）库调用处理。OpenSSL中的TLS实现不会调用这些函数，但是如果第三方应用程序调用这些函数来验证不可信数据上的签名，则会受到影响。 2.影响产品(系统版本 是否受影响) 中标和记官网登录高级服务器操作系统 V7 不影响 银河和记官网登录高级服务器操作系统 V10 不影响 中标和记官网登录高级服务器操作系统 V6 不影响 银河和记官网登录高级服务器操作系统（兼容版） V10 不影响 3.漏洞评分( 漏洞编号 危害程度 CVSS 3.1 评分 漏洞类型) CVE-2023-0401 重要 5.9 其他 漏洞评分向量：CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H 4.修复方案 无需修复