尊敬的棉花云用戶(hù)，您好！

互聯(lián)網(wǎng)安全運(yùn)營(yíng)中心監(jiān)測(cè)到，OpenSSL 官方發(fā)布安全通告，其中修復(fù)了兩個(gè)緩沖區(qū)溢出漏洞，漏洞編號(hào)CVE-2022-3786、CVE-2022-3602?？蓪?dǎo)致拒絕服務(wù)等危害，在特定的情況下可能會(huì)導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

為避免您的業(yè)務(wù)受影響，棉花云安全建議您及時(shí)開(kāi)展安全自查，如在受影響范圍，請(qǐng)您及時(shí)進(jìn)行更新修復(fù)，避免被外部攻擊者入侵。

漏洞詳情

OpenSSL 是一個(gè)安全套接字層密碼庫(kù)，通常用于加密和安全通信。

據(jù)官方描述，CVE-2022-3786 和 CVE-2022-3602 均為 OpenSSL 中 X.509 證書(shū)驗(yàn)證時(shí)存在的緩沖區(qū)溢出漏洞。當(dāng)證書(shū)包含特制的惡意電子郵件地址時(shí)，可觸發(fā)緩沖區(qū)溢出，進(jìn)而可導(dǎo)致拒絕服務(wù) (DOS) 或者潛在的遠(yuǎn)程代碼執(zhí)行。比如當(dāng)TLS客戶(hù)端在訪問(wèn)https網(wǎng)站時(shí)候，客戶(hù)端在校驗(yàn)X.509證書(shū)時(shí)可能會(huì)觸發(fā)此漏洞。

風(fēng)險(xiǎn)等級(jí)

高風(fēng)險(xiǎn)

漏洞風(fēng)險(xiǎn)

攻擊者利用該漏洞可導(dǎo)致拒絕服務(wù)或者潛在的遠(yuǎn)程代碼執(zhí)行

影響版本

3.0.0 <= OpenSSL < =3.0.6

安全版本

OpenSSL >= 3.0.7

修復(fù)建議

● 檢查方法：

可使用 “openssl version” 或 “openssl version -a” 命令即可查看當(dāng)前安裝的openssl的版本。

● 漏洞修復(fù)：

漏洞僅影響OpenSSL 3.x版本，目前官方已發(fā)布漏洞補(bǔ)丁及修復(fù)版本，請(qǐng)?jiān)u估業(yè)務(wù)是否受影響后，酌情升級(jí)至安全版本

【備注】：建議您在升級(jí)前做好數(shù)據(jù)備份工作，避免出現(xiàn)意外

漏洞參考

https://www.openssl.org/news/secadv/20221101.txt 

https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/ 

棉花云運(yùn)營(yíng)中心