漏洞公告
近日,安恒信息CERT监测到了OpenSSL发布安全公告修复了2个高危漏洞。其中包括OpenSSL缓冲区溢出漏洞(CVE-2022-3602)和OpenSSL缓冲区溢出漏洞(CVE-2022-3786)。攻击者成功利用漏洞可能会触发缓冲区溢出,导致拒绝服务或远程代码执行。目前官方已发布安全版本,建议受影响的用户尽快采取安全措施。
参考链接:
https://www.openssl.org/news/secadv/20221101.txt
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
一
影响范围
受影响版本:
3.0.0 ≤ OpenSSL < 3.0.7
二
漏洞描述
OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。
OpenSSL缓冲区溢出漏洞(CVE-2022-3602):受影响版本可在X.509证书验证过程中,特别在名称约束检查中触发缓冲区溢出。缓冲区溢出的情况发生在证书链签名验证之后,且要求证书颁发机构签名恶意证书或应用程序在构建受信任发布机构路径失败后继续进行证书验证。攻击者可构造恶意邮件地址,在栈上溢出四个受攻击者控制的字节,导致拒绝服务或可能引发远程代码执行。
| 细节是否公开 | POC状态 | EXP状态 | 在野利用 |
| 否 | 未公开 | 未公开 |
未发现 |
在TLS客户端,可通过连接到恶意服务器来触发。在TLS服务器中,如果服务器请求客户端验证且连接恶意客户端可触发。
| 细节是否公开 | POC状态 | EXP状态 | 在野利用 |
| 否 | 未公开 | 未公开 |
未发现 |
三
缓解措施
高危:目前漏洞细节和利用代码暂未公开,但恶意攻击者可以通过补丁对比分析出漏洞触发点,建议受影响用户及时升级更新到安全版本。
官方建议:
1、目前OpenSSL官方已发布安全版本修复上述漏洞,建议受影响的用户升级至OpenSSL 3.0.7及以上安全版本。
下载地址:
https://www.openssl.org/source/
安恒信息CERT
2022年11月
原文始发于微信公众号(安恒信息CERT):OpenSSL多个高危漏洞风险提示
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论