一、漏洞详情
OpenSSL是一个功能齐全的工具包,用于通用加密和安全通信。
OpenSSL项目发布安全公告,修复了OpenSSL中的2个缓冲区溢出漏洞(CVE-2022-3602和CVE-2022-3786),详情如下:
CVE-2022-3602:X.509电子邮件地址4字节缓冲区溢出漏洞
由于OpenSSL 3.0.0 - 3.0.6版本中在X.509证书验证中存在缓冲区溢出漏洞,可以通过制作恶意电子邮件地址以溢出堆栈上的4个字节,成功利用此漏洞可能导致拒绝服务或远程代码执行。
CVE-2022-3786:X.509电子邮件地址可变长度缓冲区溢出漏洞
由于OpenSSL 3.0.0 - 3.0.6版本中在X.509证书验证中存在缓冲区溢出漏洞,可以通过在证书中制作恶意电子邮件地址以溢出堆栈中包含“.”字符(十进制46)的任意字节数,成功利用此漏洞可能导致拒绝服务。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
OpenSSL 版本 3.0.0 - 3.0.6
三、修复建议
目前OpenSSL官方已发布安全版本修复上述漏洞,建议受影响的用户升级至OpenSSL 3.0.7及以上安全版本。
下载地址:https://www.openssl.org/source/