OpenSSL缓冲区溢出漏洞预警

OpenSSL X.509 Email Address 

字节溢出漏洞（CVE-2022-3602）

OpenSSL X.509 Email Address Variable

 长度溢出漏洞 (CVE-2022-3786)

预警 

近日，四叶草安全团队监测到OpenSSL发布了关于CVE-2022-3786（“X.509 邮件地址变量长度缓冲区溢出”）和CVE-2022-3602（“X.509 邮件地址4字节缓冲区溢出”）漏洞的安全公告。

攻击者可构造恶意邮件地址在栈上溢出包含 . 字符的任意字节数量。该缓冲区溢出可导致崩溃（引发拒绝服务）(CVE-2022-3786)。

攻击者可构造恶意邮件地址，在栈上溢出四个受攻击者控制的字节。该缓冲区溢出可导致崩溃（引发拒绝服务）或可能引发远程代码执行，取决于任何既定平台/编译器的栈布局 (CVE-2022-3602)。

在 OpenSSL 处理带有特制电子邮件地址字段的 X.509 证书的方式中发现了基于堆栈的缓冲区溢出。此问题可能会导致使用 OpenSSL 编译的服务器或客户端应用程序在处理恶意证书时崩溃或执行远程代码。

如果服务器请求客户端证书身份验证并且恶意客户端提供特制证书，则可以触发服务器端漏洞。此问题会导致服务器在解析证书时失败。

当客户端使用使用 OpenSSL 的应用程序通过连接到提供特制 X.509 证书的流氓服务器来处理服务器证书时，可以触发客户端漏洞利用。此问题会导致客户端的 OpenSSL 失败。

需要注意的是，有缺陷的代码仅在针对证书颁发机构（CA）信任链进行证书验证后才会触发，这意味着恶意证书必须由有效且经过认证的CA颁发，或者故意接受不受信任的证书。

CVE-2022-3602 可能导致拒绝服务和远程代码执行，而 CVE-2022-3786 只能导致拒绝服务。

3.0.0 <= OpenSSL <= 3.0.6

OpenSSL 1.x 和 2.x 版本 均不受此次漏洞影响

高危

1.官方已发布安全更新，建议升级。

2.临时防护措施：

在应用修复方案之前，运行TLS服务器（如运行）的用户可考虑禁用TLS客户端认证。

「四叶草安全洞镜异常行为实时监测平台」通过实时分析网络流量，监控可疑威胁行为，以及内置的多种检测技术，可以对DoS和DDoS、缓冲区溢出、SQL注入、跨站脚本等攻击类型的行为进行实时检测和预警。

若想了解更多产品信息或有相关业务需求，可扫码移步至官网：

https://www.seclover.com/

https://www.openssl.org/news/secadv/20221101.txt