尊敬的棉花云用戶，您好！

互聯網安全運營中心監(jiān)測到，OpenSSL 官方發(fā)布安全通告，其中修復了兩個緩沖區(qū)溢出漏洞，漏洞編號CVE-2022-3786、CVE-2022-3602?？蓪е戮芙^服務等危害，在特定的情況下可能會導致遠程代碼執(zhí)行。

為避免您的業(yè)務受影響，棉花云安全建議您及時開展安全自查，如在受影響范圍，請您及時進行更新修復，避免被外部攻擊者入侵。

漏洞詳情

OpenSSL 是一個安全套接字層密碼庫，通常用于加密和安全通信。

據官方描述，CVE-2022-3786 和 CVE-2022-3602 均為 OpenSSL 中 X.509 證書驗證時存在的緩沖區(qū)溢出漏洞。當證書包含特制的惡意電子郵件地址時，可觸發(fā)緩沖區(qū)溢出，進而可導致拒絕服務 (DOS) 或者潛在的遠程代碼執(zhí)行。比如當TLS客戶端在訪問https網站時候，客戶端在校驗X.509證書時可能會觸發(fā)此漏洞。

風險等級

高風險

漏洞風險

攻擊者利用該漏洞可導致拒絕服務或者潛在的遠程代碼執(zhí)行

影響版本

3.0.0 <= OpenSSL < =3.0.6

安全版本

OpenSSL >= 3.0.7

修復建議

● 檢查方法：

可使用 “openssl version” 或 “openssl version -a” 命令即可查看當前安裝的openssl的版本。

● 漏洞修復：

漏洞僅影響OpenSSL 3.x版本，目前官方已發(fā)布漏洞補丁及修復版本，請評估業(yè)務是否受影響后，酌情升級至安全版本

【備注】：建議您在升級前做好數據備份工作，避免出現意外

漏洞參考

https://www.openssl.org/news/secadv/20221101.txt 

https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/ 

棉花云運營中心