近日,我司监测到OpenSSL发布安全公告,修复了2个存在于OpenSSL中的缓冲区溢出漏洞。
OpenSSL是OpenSSL团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。
漏洞详情如下:
1.CVE-2022-3602 OpenSSL栈缓冲区溢出漏洞
风险等级:高危
漏洞类型:缓冲区溢出
漏洞简介:在 X.509 证书验证过程中(特别是在名称约束检查中)会触发缓冲区溢出,可能导致拒绝服务或远程代码执行。 缓冲区溢出发生在证书链签名验证之后,需要 CA 签署恶意证书或让应用程序在未能构建到受信任颁发者的路径时继续进行证书验证。攻击者可以构造恶意电子邮件地址利用可控的四个字节来溢出邻近缓冲区。
2.CVE-2022-3786 OpenSSL缓冲区溢出漏洞
风险等级:高危
漏洞类型:缓冲区溢出
漏洞简介:在 X.509 证书验证过程中(特别是在名称约束检查中)会触发缓冲区溢出,可能导致拒绝服务。 缓冲区溢出发生在证书链签名验证之后,需要 CA 签署恶意证书或让应用程序在未能构建到受信任颁发者的路径时继续进行证书验证。攻击者可以在证书中构造恶意电子邮件地址来溢出邻近栈缓冲区中包含‘.’的任意数量字节。
影响版本:
安全版本:
修复建议:
官方已经针对漏洞发布了版本更新,下载地址如下:
https://github.com/openssl/openssl/tags
评论已关闭。