关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回

【安全预警通告】OpenSSL 缓冲区溢出漏洞风险通告(CVE-2022-3786、CVE-2022-3602)

发布时间:2022-11-06 10:53:16

尊敬的棉花云用户,您好!

互联网安全运营中心监测到,OpenSSL 官方发布安全通告,其中修复了两个缓冲区溢出漏洞,漏洞编号CVE-2022-3786、CVE-2022-3602。可导致拒绝服务等危害,在特定的情况下可能会导致远程代码执行

为避免您的业务受影响,棉花云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

OpenSSL 是一个安全套接字层密码库,通常用于加密和安全通信。

据官方描述,CVE-2022-3786 和 CVE-2022-3602 均为 OpenSSL 中 X.509 证书验证时存在的缓冲区溢出漏洞。当证书包含特制的恶意电子邮件地址时,可触发缓冲区溢出,进而可导致拒绝服务 (DOS) 或者潜在的远程代码执行。比如当TLS客户端在访问https网站时候,客户端在校验X.509证书时可能会触发此漏洞。

风险等级

高风险

漏洞风险

攻击者利用该漏洞可导致拒绝服务或者潜在的远程代码执行

影响版本

3.0.0 <= OpenSSL < =3.0.6

安全版本

OpenSSL >= 3.0.7

修复建议

● 检查方法:

可使用 “openssl version” 或 “openssl version -a” 命令即可查看当前安装的openssl的版本。

● 漏洞修复:

漏洞仅影响OpenSSL 3.x版本,目前官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本

【备注】:建议您在升级前做好数据备份工作,避免出现意外

漏洞参考

https://www.openssl.org/news/secadv/20221101.txt 

https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/ 

棉花云运营中心



/template/Home/Cloud/PC/Static

立即注册棉花云账号,开启您的轻松上云之旅

立即注册