OpenSSL 已发布 3.0.7 修复两个高危漏洞:CVE-2022-3786 和 CVE-2022-3602。官方建议 OpenSSL 3.0.x 用户应升级到 OpenSSL 3.0.7,因为这两个漏洞影响 OpenSSL 3.0.0 至 3.0.6 版本,不影响 OpenSSL 1.1.1 和 1.0.2。
OpenSSL 团队表示,目前尚未发现利用上述漏洞的案例。此外,由于 OpenSSL 不会跟踪项目的使用情况,所以也没有关于受影响的服务器的统计数据。只是建议用户升级到最新版本。
CVE-2022-3602 漏洞最初被 OpenSSL 团队评估为 "CRITICAL"(严重)等级 —— 因为可能会导致 RCE,但经过测试和评估,该漏洞在 2022 年 11 月 1 日被降级为 "HIGH"(高危)。
CVE-2022-3602:X.509 电子邮件地址 4 字节缓冲区溢出漏洞
由于 OpenSSL 3.0.0 - 3.0.6 版本中在 X.509 证书验证中存在缓冲区溢出漏洞,可以通过制作恶意电子邮件地址以溢出堆栈上的 4 个字节,成功利用此漏洞可用于发起 Dos 攻击或远程代码执行。
CVE-2022-3786:X.509 电子邮件地址可变长度缓冲区溢出漏洞
由于 OpenSSL 3.0.0 - 3.0.6 版本中在 X.509 证书验证中存在缓冲区溢出漏洞,可以通过在证书中制作恶意电子邮件地址以溢出堆栈中包含 “.” 字符(十进制 46)的任意字节数,成功利用此漏洞可用于发起 DoS 攻击。