- 上版日期:2022-11-11
OpenSSL為開源的加密函式庫套件,可產生自簽憑證,支援多種加密演算法,廣泛應用於網頁伺服器。
OpenSSL於2022年11月1日釋出3.0.7版本,主要修補兩個高風險緩衝區溢位漏洞(buffer overflow),編號為 CVE-2022-3602、CVE-2022-3786 ,CVSS 3.0風險值皆為7.5分,漏洞內容如下:
- CVE-2022-3602
為OpenSSL含有漏洞之版本驗證X.509憑證時,因對Punycode解碼函數的異常解析,導致系統拒絕服務以及遠端程式碼被執行。
起初判定為重大漏洞,但許多平台有堆疊溢位保護機制,可減輕風險,且發現某些Linux版本堆疊佈局(stack layout),並不會使系統停擺或遭受RCE攻擊。
- CVE-2022-3786
攻擊者可特製X.509憑證,內容包含惡意電子郵件地址用以溢出堆疊包含「.」字元(ASCII十進制為46)的任意位元數,使含有漏洞之OpenSSL無法正確驗證,導致緩衝區溢位,並使系統停擺,但不存在RCE漏洞風險。
OpenSSL建議,任何來源為X.509憑證的OpenSSL 3.0應用驗證,都有可能受到影響,包含使用TLS客戶端身分驗證的客戶端與伺服器,若無法立即更新系統,可考慮暫時關閉TLS伺服器上的客戶端驗證。
影響範圍:OpenSSL 3.0.0-3.0.6
建議措施:
更新OpenSSL至3.0.7的版本,如下連結
https://www.openssl.org/source/openssl-3.0.7.tar.gz
參考資料: