OpenSSL緩沖區(qū)溢出漏洞預(yù)警（CVE-2022-3602、CVE-2022-3786）

2022-11-03

一、概要

近日，華為云關(guān)注到OpenSSL官方發(fā)布安全公告披露在3.0.x版本中存在兩處高危的緩沖區(qū)溢出漏洞（CVE-2022-3602、CVE-2022-3786）。由于OpenSSL 中 在X.509 證書驗(yàn)證時(shí)存在缺陷，可以通過(guò)制作惡意電子郵件地址觸發(fā)緩沖區(qū)溢出，成功利用漏洞可導(dǎo)致拒絕服務(wù)或潛在的遠(yuǎn)程代碼執(zhí)行。

OpenSSL是一款強(qiáng)大的安全套接字層密碼庫(kù)。華為云提醒使用OpenSSL的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

3.0.0 <= OpenSSL < 3.0.7

安全版本：

OpenSSL 3.0.7

OpenSSL 1.x和2.x版本不受漏洞這兩個(gè)漏洞影響

四、安全建議

目前官方已在3.0.7版本中修復(fù)了這兩處漏洞，請(qǐng)受影響的用戶升級(jí)至安全版本：

https://www.openssl.org/source/

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。