芒竹云公告 > 公告详情

【安全通告】OpenSSL 缓冲区溢出漏洞风险通告(CVE-2022-3786、CVE-2022-3602)

发布时间:2022-11-06 12:42:00
尊敬的芒竹云用户,您好!
芒竹云安全运营中心监测到,OpenSSL 官方发布安全通告,其中修复了两个缓冲区溢出漏洞,漏洞编号CVE-2022-3786、CVE-2022-3602。可导致拒绝服务等危害,在特定的情况下可能会导致远程代码执行。
为避免您的业务受影响,芒竹云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
OpenSSL 是一个安全套接字层密码库,通常用于加密和安全通信。
据官方描述,CVE-2022-3786 和 CVE-2022-3602 均为 OpenSSL 中 X.509 证书验证时存在的缓冲区溢出漏洞。当证书包含特制的恶意电子邮件地址时,可触发缓冲区溢出,进而可导致拒绝服务 (DOS) 或者潜在的远程代码执行。比如当TLS客户端在访问https网站时候,客户端在校验X.509证书时可能会触发此漏洞。
风险等级
高风险
漏洞风险
攻击者利用该漏洞可导致拒绝服务或者潜在的远程代码执行
影响版本
3.0.0 <= OpenSSL < =3.0.6
安全版本
OpenSSL >= 3.0.7
修复建议
● 检查方法:
可使用 “openssl version” 或 “openssl version -a” 命令即可查看当前安装的openssl的版本。

● 漏洞修复:
漏洞仅影响OpenSSL 3.x版本,目前官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本

● 使用云安全产品防护:
主机安全、Web应用防火墙、云防火墙和漏洞扫描服务会尽快更新对该漏洞的检测和防护能力,请关注后续防护通知;我们会限时开放所有安全产品 7 天免费试用,提供漏洞检测、防护与修复的一站式应对方案。
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考

https://www.openssl.org/news/secadv/20221101.txt
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/


/template/Home/qcloud/PC/Static