OpenSSL 项目团队最近
宣布 发布了 OpenSSL 版本 3.0.7 ,将于 1300-1700 UTC 之间的星期二11月1日星期二提供。此更新是针对 OpenSSL 3.0.x. 中漏洞的安全修补程序,强烈建议在星期二补丁发布时,开发人员和管理员在其环境中优先使用 OpenSSL 3 的任何实例进行修补。
随着可用信息的增多,本文将会更新。
要在更新本文时收到电子邮件通知,请单击 订阅 位于页面右侧。您必须登录后才能订购。
在11月1日2022,OpenSSL 发布了一个有关 CVE-2022-3786 ("X. 509 电子邮件地址可变长度缓冲区溢出")和 CVE-2022-3602 ("X. 509 Email Address 4 字节缓冲区溢出")的
顾问 。CVE-2022-3602 最初是由 OpenSSL 项目评估的重要问题,但后来降低到了高严重性。有关此问题的详细信息可在相应的 OpenSSL
博客文章中找到。其他信息可在此 Trellix
博客文章中找到。
安全/Security 公告
SB10390 现在也可以使用。
CVE-2022-3602
缓冲区溢出可在509证书验证中触发,特别是在名称约束检查中。请注意,在证书链签名验证之后,如果不构建受信任的颁发者的路径,也需要 CA 签署恶意证书或应用程序才能继续进行证书验证,则会出现这种情况。攻击者可以在证书中手工创建恶意电子邮件地址,以在堆栈上溢出任意数量的包含 "." 字符(十进制46)的字节。此缓冲区溢出可能会导致崩溃(导致拒绝服务)。在 TLS 客户端中,可以通过连接到恶意服务器来触发此项。在 TLS 服务器中,如果服务器请求客户端身份验证且恶意客户端连接,则会触发此项。
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-3602
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3602
CVE-2022-3786
缓冲区溢出可在509证书验证中触发,特别是在名称约束检查中。
请注意,在证书链签名验证之后,如果不构建受信任的颁发者的路径,也需要 CA 签署恶意证书或应用程序才能继续进行证书验证,则会出现这种情况。攻击者可以在证书中手工创建恶意电子邮件地址,以在堆栈上溢出任意数量的包含 "." 字符(十进制46)的字节。此缓冲区溢出可能会导致崩溃(导致拒绝服务)。在 TLS 客户端中,可以通过连接到恶意服务器来触发此项。在 TLS 服务器中,如果服务器请求客户端身份验证且恶意客户端连接,则会触发此项。
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-3786
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3786