【漏洞通告】OpenSSL多个漏洞安全通告

admin 2022年11月2日20:18:00安全漏洞评论42 views1054字阅读3分30秒阅读模式
【漏洞通告】OpenSSL多个漏洞安全通告

漏洞名称:

OpenSSL 多个漏洞

组件名称:

OpenSSL

安全公告链接:

https://www.openssl.org/news/secadv/20221101.txt



漏洞分析

【漏洞通告】OpenSSL多个漏洞安全通告

组件介绍

在计算机网络上,OpenSSL 是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包被广泛应用在互联网的网页服务器上。

【漏洞通告】OpenSSL多个漏洞安全通告

漏洞描述

2022 年 11 月 2 日,深信服安全团队监测到一则 OpenSSL 官方发布安全补丁,共修复了 2 个安全漏洞,其中包含 2 个高危漏洞的信息。


序号

漏洞名称

影响版本

严重等级

1

OpenSSL X.509 邮件地址变量长度缓冲区溢出漏洞

CVE-2022-3786

3.0.0OpenSSL3.0.6

高危

2

OpenSSL X.509 邮件地址4字节缓冲区溢出漏洞

CVE-2022-3602

3.0.0OpenSSL3.0.6

高危


高危漏洞描述


OpenSSL X.509 邮件地址变量长度缓冲区溢出漏洞(CVE-2022-3786)

该漏洞是位于punycode解码函数中的缓冲区溢出问题,攻击者利用该漏洞可以构造恶意数据,执行恶意邮件地址在栈上溢出包含“.”字符的任意字节数量,最终造成缓冲区溢出、程序崩溃。


OpenSSL X.509 邮件地址4字节缓冲区溢出漏洞(CVE-2022-3602)

该漏洞是位于punycode解码函数中的缓冲区溢出问题,攻击者可利用该漏洞在指定的平台或编译器上构造恶意数据,执行远程代码攻击,最终获取服务器最高权限。

影响范围

OpenSSL 全球使用量达数千万,可能受漏洞影响的资产广泛分布于世界各地,今年曝出的漏洞都是高危及致命漏洞,涉及用户量大,导致漏洞影响力很大。

解决方案

【漏洞通告】OpenSSL多个漏洞安全通告

1.如何检测组件版本

在终端输入以下命令:openssl version,即可查看当前版本。

【漏洞通告】OpenSSL多个漏洞安全通告

【漏洞通告】OpenSSL多个漏洞安全通告

2.官方修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://www.openssl.org/source/

参考链接

https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

时间轴


2022/11/2

深信服监测到 OpenSSL 官方发布安全公告。

2022/11/2 

深信服千里目安全技术中心发布漏洞通告。



点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

【漏洞通告】OpenSSL多个漏洞安全通告

【漏洞通告】OpenSSL多个漏洞安全通告


原文始发于微信公众号(深信服千里目安全技术中心):【漏洞通告】OpenSSL多个漏洞安全通告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月2日20:18:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞通告】OpenSSL多个漏洞安全通告 http://cn-sec.com/archives/1386584.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: