漏洞名称:
OpenSSL 多个漏洞
组件名称:
OpenSSL
安全公告链接:
https://www.openssl.org/news/secadv/20221101.txt
漏洞分析
组件介绍
在计算机网络上,OpenSSL 是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包被广泛应用在互联网的网页服务器上。
漏洞描述
2022 年 11 月 2 日,深信服安全团队监测到一则 OpenSSL 官方发布安全补丁,共修复了 2 个安全漏洞,其中包含 2 个高危漏洞的信息。
|
序号 |
漏洞名称 |
影响版本 |
严重等级 |
|
1 |
OpenSSL X.509 邮件地址变量长度缓冲区溢出漏洞 CVE-2022-3786 |
3.0.0≤OpenSSL≤3.0.6 |
高危 |
|
2 |
OpenSSL X.509 邮件地址4字节缓冲区溢出漏洞 CVE-2022-3602 |
3.0.0≤OpenSSL≤3.0.6 |
高危 |
高危漏洞描述
OpenSSL X.509 邮件地址变量长度缓冲区溢出漏洞(CVE-2022-3786)
该漏洞是位于punycode解码函数中的缓冲区溢出问题,攻击者利用该漏洞可以构造恶意数据,执行恶意邮件地址在栈上溢出包含“.”字符的任意字节数量,最终造成缓冲区溢出、程序崩溃。
OpenSSL X.509 邮件地址4字节缓冲区溢出漏洞(CVE-2022-3602)
该漏洞是位于punycode解码函数中的缓冲区溢出问题,攻击者可利用该漏洞在指定的平台或编译器上构造恶意数据,执行远程代码攻击,最终获取服务器最高权限。
影响范围
OpenSSL 全球使用量达数千万,可能受漏洞影响的资产广泛分布于世界各地,今年曝出的漏洞都是高危及致命漏洞,涉及用户量大,导致漏洞影响力很大。
解决方案
1.如何检测组件版本
在终端输入以下命令:openssl version,即可查看当前版本。
2.官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://www.openssl.org/source/
参考链接
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
时间轴
2022/11/2
深信服监测到 OpenSSL 官方发布安全公告。
2022/11/2
深信服千里目安全技术中心发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
原文始发于微信公众号(深信服千里目安全技术中心):【漏洞通告】OpenSSL多个漏洞安全通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论