网络安全

Network Security

当前位置: 首页 > 网络安全 > 网络安全预警信息 > 正文

关于OpenSSL缓冲区溢出漏洞(CVE-2022-3602)的安全预警

日期:2022-11-10阅读:

一、基本情况

11月1日,OpenSSL项目发布安全公告,修复了OpenSSL中的2个缓冲区溢出漏洞(CVE-2022-3602和CVE-2022-3786)

二、漏洞描述

CVE-2022-3602:X.509电子邮件地址4字节缓冲区溢出漏洞

由于OpenSSL 3.0.0 - 3.0.6版本中在X.509证书验证中存在缓冲区溢出漏洞,可以通过制作恶意电子邮件地址以溢出堆栈上的4个字节,成功利用此漏洞可能导致拒绝服务或远程代码执行。

CVE-2022-3786:X.509电子邮件地址可变长度缓冲区溢出漏洞

由于OpenSSL 3.0.0 - 3.0.6版本中在X.509证书验证中存在缓冲区溢出漏洞,可以通过在证书中制作恶意电子邮件地址以溢出堆栈中包含“.”字符(十进制46)的任意字节数,成功利用此漏洞可能导致拒绝服务。

三、影响范围

OpenSSL 版本 3.0.0 - 3.0.6

四、修复建议

目前OpenSSL项目已经修复了这些漏洞,受影响用户可以更新到以下版本:

OpenSSL 3.0版本用户:升级到 OpenSSL 版本3.0.7。

下载链接:

https://www.openssl.org/source/

五、参考链接

安全脉搏

https://www.secpulse.com/archives/190558.html


我是盾盾