尊敬的棉花云用户,您好!
互联网安全运营中心监测到,OpenSSL 官方发布安全通告,其中修复了两个缓冲区溢出漏洞,漏洞编号CVE-2022-3786、CVE-2022-3602。可导致拒绝服务等危害,在特定的情况下可能会导致远程代码执行。
为避免您的业务受影响,棉花云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
OpenSSL 是一个安全套接字层密码库,通常用于加密和安全通信。
据官方描述,CVE-2022-3786 和 CVE-2022-3602 均为 OpenSSL 中 X.509 证书验证时存在的缓冲区溢出漏洞。当证书包含特制的恶意电子邮件地址时,可触发缓冲区溢出,进而可导致拒绝服务 (DOS) 或者潜在的远程代码执行。比如当TLS客户端在访问https网站时候,客户端在校验X.509证书时可能会触发此漏洞。
风险等级
高风险
漏洞风险
攻击者利用该漏洞可导致拒绝服务或者潜在的远程代码执行
影响版本
3.0.0 <= OpenSSL < =3.0.6
安全版本
OpenSSL >= 3.0.7
修复建议
● 检查方法:
可使用 “openssl version” 或 “openssl version -a” 命令即可查看当前安装的openssl的版本。
● 漏洞修复:
漏洞仅影响OpenSSL 3.x版本,目前官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
https://www.openssl.org/news/secadv/20221101.txt
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
棉花云运营中心
Copyright © 2014-2025 棉花云. All Rights Reserved. 2014IDC 版权所有 江西乐网网络科技有限公司 赣ICP备15007148号-5
使用本网站产品请严格遵守当地法律法规。用户严禁任何触犯中华人民共和国或香港特别行政区以及所在地相关法律规定。
本站部分服务由以下合作商提供:西数 新网 DNSPOD 商务中国 新网互联 阿里云 腾讯云 PDR
棉花云®为我司注册商标,受商标法保护,未经授权许可,严禁个人或组织使用
棉花云网址:www.88sup.com 、mianhuayun.net、www.mianhuayun.net
以我所能,为你而+,助力轻松触及云端。
《中华人民共和国公安部网安备案》编号 赣公网安备
36010302000229号
《中华人民共和国增值电信业务经营许可证》编号
云牌照/IDC/ISP:B1-20224338
