近日,OpenSSL官方发布了OpenSSL 3.0的风险通告,漏洞编号为CVE-2022-3602,CVE-2022-3786,漏洞等级:严重,漏洞评分:9.0。
OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。
一、漏洞介绍
CVE-2022-3602:该漏洞存在于OpenSSL 中 X.509 证书验证的名称约束检查功能中,攻击者可通过制作恶意电子邮件地址导致任意 4 字节堆栈缓冲区溢出,最终导致远程代码执行或拒绝服务
CVE-2022-3786:该漏洞存在于OpenSSL 中 X.509 证书验证的名称约束检查功能中,攻击者可通过制作恶意电子邮件地址导致包含 “.” 字符(十进制46)的任意字节数堆栈缓冲区溢出,最终导致拒绝服务。
风险等级:高风险。
二、漏洞影响
影响范围:OpenSSL-3.0.0 - 3.0.6
三、修复建议
根据影响版本中的信息,排查并升级到安全版本3.0.7。
