一、漏洞概述
2022年11月2日,绿盟科技CERT监测到openssl官方发布安全公告,修复了OpenSSL存在多个缓冲区溢出漏洞。OpenSSL 是一个开放源代码的软件库包。应用程序可以使用这个包来进行安全通信、避免窃听,同时确认另一端连接者的身份,广泛被应用在互联网的网页服务器上。请相关用户尽快采取措施进行防护。
OpenSSL 缓冲区溢出漏洞(CVE-2022-3602):
OpenSSL的X.509证书验证过程中可触发缓冲区溢出漏洞。在经过证书链签名验证,且CA 签署恶意证书或应用程序继续进行证书验证后,攻击者可通过制作恶意电子邮件地址,使堆栈上四个被控制的字节溢出,最终导致拒绝服务或在特定平台上执行任意代码。在 TLS 客户端中,连接到恶意服务器可以触发该漏洞。在TLS服务器中,若服务器请求客户端身份验证并且恶意客户端连接,即可触发该漏洞。
OpenSSL 缓冲区溢出漏洞(CVE-2022-3786):
OpenSSL的X.509证书验证过程中可触发缓冲区溢出漏洞。在经过证书链签名验证,且CA 签署恶意证书或应用程序继续进行证书验证后,攻击者可通过在证书中制作恶意电子邮件地址,实现包含“.”字符(十进制46)的任意字节数溢出,最终导致拒绝服务攻击。在TLS客户端中,连接到恶意服务器可以触发此操作。在TLS服务器中,若服务器请求客户端身份验证并且恶意客户端连接,即可触发此漏洞。
参考链接:
https://www.openssl.org/news/secadv/20221101.txt
二、影响范围
受影响版本
- 0.0 <= OpenSSL <= 3.0.6
安全版本
- OpenSSL >= 3.0.7
注:OpenSSL 3.0以下版本不受该漏洞影响
三、漏洞检测
- 人工检测
相关用户可通过运行下列命令进行版本检测判断当前系统是否存在风险:
| openssl version |
若当前使用的OpenSSL版本在受影响范围内,则可能存在安全风险。
四、漏洞防护
- 官方升级
目前官方已针对受支持的版本修复了该漏洞,请受影响的用户尽快更新版本进行防护,官方下载链接:https://github.com/openssl/openssl/tags
补丁链接:https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=c42165b5706e42f67ef8ef4c351a9a4c5d21639a
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。