OpenSSL X.509 电子邮件地址缓冲区溢出漏洞通告
漏洞概述近日,华为感知到OpenSSL官方发布安全公告,修复了2个位于X.509证书验证功能中的高危漏洞CVE-2022-3786和CVE-2022-3602。 这两个漏洞位于X.509证书验证的名称约束检查函数中,在OpenSSL配置了TLS客户端认证的前提下,通过发送特殊构造的TLS数据包,可导致缓冲区溢出,造成拒绝服务。在某些特定情况下,可能会导致远程代码执行。鉴于漏洞危害较大,建议广大用户尽快升级,避免遭受黑客的攻击。
关键信息
受影响的版本- OpenSSL 3.0.0 到 3.0.6
解决方案1. 华为解决方案 华为在感知到该漏洞信息以后,安全研究人员持续关注相关信息,复现漏洞,并针对CVE-2022-3602开发IPS防护签名。目前最新IPS签名库已推送到升级网站,可供客户升级使用。
2. 厂商解决方案 官方已修复漏洞,可以升级到OpenSSL 3.0.7或更高版本: https://www.openssl.org/news/secadv/20221101.txt
参考链接https://www.openssl.org/news/secadv/20221101.txt https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/ |
