OpenSSL 缓冲区溢出漏洞风险（CVE-2022-3786、CVE-2022-3602）

OpenSSL 官方发布安全通告，其中修复了两个缓冲区溢出漏洞，漏洞编号 CVE-2022-3786、CVE-2022-3602。可导致拒绝服务等危害，在特定的情况下可能会导致远程代码执行。

漏洞详情

OpenSSL 是一个安全套接字层密码库，通常用于加密和安全通信。

据官方描述，CVE-2022-3786 和 CVE-2022-3602 均为 OpenSSL 中 X.509 证书验证时存在的缓冲区溢出漏洞。当证书包含特制的恶意电子邮件地址时，可触发缓冲区溢出，进而可导致拒绝服务 (DOS) 或者潜在的远程代码执行。比如当TLS客户端在访问https网站时候，客户端在校验X.509证书时可能会触发此漏洞。

风险等级

高风险

漏洞风险

攻击者利用该漏洞可导致拒绝服务或者潜在的远程代码执行

影响版本

3.0.0 <= OpenSSL < =3.0.6

安全版本

OpenSSL >= 3.0.7

修复建议

● 检查方法：

可使用 “openssl version” 或 “openssl version -a” 命令即可查看当前安装的openssl的版本。

● 漏洞修复：

漏洞仅影响OpenSSL 3.x版本，目前官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本

【注】：务必在升级前做好数据备份工作，避免出现意外。

漏洞参考

https://www.openssl.org/news/secadv/20221101.txt

https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/