一、背景介绍
近日,市委网信办技术支撑单位监测到 OpenSSL 官方发布了漏洞公告,OpenSSL 在验证X.509 证书时存在两个缓冲区溢出漏洞,包括 OpenSSL 拒绝服务漏洞(CVE-2022-3786)和OpenSSL 远程代码执行漏洞(CVE-2022-3602)。
1.1 漏洞描述
CVE-2022-3786:OpenSSL 拒绝服务漏洞
此缓冲区溢出可能导致崩溃(导致拒绝服务),在 TLS 客户端中,这可以通过连接到恶意服务器来触发,在 TLS 服务器中,如果服务器请求客户端身份验证并且与恶意客户端连接,则可以触发此操作。
CVE-2022-3602:OpenSSL 远程代码执行漏洞
漏洞存在于 ossl_punycode_decode 函数中,当客户端或服务器配置为验证 X.509 证书时调用此函数,攻击者可以通过在电子邮件地址字段的域中创建包含 punycode 的特制证书来利用该漏洞。
1.2 漏洞编号
CVE-2022-3786
CVE-2022-3602
二、修复建议
2.1 受影响版本
OpenSSL 3.x < 3.0.7
2.2 修复建议
目前 OpenSSL 官方已正式发布修复版本,建议受影响用户尽快升级至安全版本。
OpenSSL 3.x 升级到 3.0.7 版本,可从地址中下载升级:
https://www.openssl.org/source/mirror.html
注:若使用的应用程序自行打包 OpenSSL 时,例如 Node.js 17.x、18.x 或19.x,则需要升级应用程序本身。