OpenSSL 发布 3.0.7 修复两个“高危”漏洞


OpenSSL 已发布 3.0.7 修复两个高危漏洞:CVE-2022-3786 和 CVE-2022-3602。官方建议 OpenSSL 3.0.x 用户应升级到 OpenSSL 3.0.7,因为这两个漏洞影响 OpenSSL 3.0.0 至 3.0.6 版本,不影响 OpenSSL 1.1.1 和 1.0.2

OpenSSL 团队表示,目前尚未发现利用上述漏洞的案例。此外,由于 OpenSSL 不会跟踪项目的使用情况,所以也没有关于受影响的服务器的统计数据。只是建议用户升级到最新版本。

CVE-2022-3602 漏洞最初被 OpenSSL 团队评估为"CRITICAL"(严重)等级——因为可能会导致 RCE,但经过测试和评估,该漏洞在 2022 年 11 月 1 日被降级为"HIGH"(高危)


  • CVE-2022-3602:X.509 电子邮件地址 4 字节缓冲区溢出漏洞

由于 OpenSSL 3.0.0 - 3.0.6 版本中在 X.509 证书验证中存在缓冲区溢出漏洞,可以通过制作恶意电子邮件地址以溢出堆栈上的 4 个字节,成功利用此漏洞可用于发起 Dos 攻击或远程代码执行。

  • CVE-2022-3786:X.509 电子邮件地址可变长度缓冲区溢出漏洞

由于 OpenSSL 3.0.0 - 3.0.6 版本中在 X.509 证书验证中存在缓冲区溢出漏洞,可以通过在证书中制作恶意电子邮件地址以溢出堆栈中包含“.”字符(十进制 46)的任意字节数,成功利用此漏洞可用于发起 DoS 攻击。

详情查看 OpenSSL 官方公告。


延伸阅读

  • 因严重 OpenSSL 漏洞,Fedora 37 延迟至 11 月中旬发布

相關推薦

2022-03-31

RCE),使用 JDK9 及以上版本皆有可能受到影响。 正在紧急修复? 从 Spring 项目的 Git 提交记录来看,在漏洞消息疯传的同时, Spring 开发者似乎在紧急处理漏洞相关的代码,比如 3 月 29日的新提交:。 在这个敏感的时间点,该

2022-10-29

Fedora 项目经理 BEN COTTON 在博客中的介绍:因严重的 OpenSSL 漏洞,原定于 10 月中旬发布的 Fedora 37 将延迟至 11 月中旬发布。 10 月 25 日,OpenSSL 团队在邮件和推特中宣布 OpenSSL 3.x 版本出现了一个非常严重的安全漏洞,将

2022-11-25

Ruby 3.1.3、3.0.5、2.1.7 发布了,这几个版本都只包含一个安全修复程序,修复了同一个漏洞: CVE-2021-33621:CGI 中的 HTTP 响应拆分 如果应用程序使用带有不受信任的用户输入的 cgi gem 生成 HTTP 响应,则攻击者可以利用它来注入

2021-12-16

修复方案】 升级至最新组件:log4j-2.15.0,其中2.15.0的发布时间应该为2021-12-09 23:46的版本! ◎ 方案1 - 修改代码 针对ES connector 和Ranger plugin,更新代码,移除log4j的依赖。关联PR如下 : 备注:由于Ranger社区尚未修复log4j

2023-02-25

应用安全公司 Synopsys 最新发布的 2023 年开源安全和风险分析 (Open Source Security and Risk Analysis,OSSRA) 报告指出,绝大多数代码库 (84%) 至少包含一个已知的开源漏洞,相较去年增加了近 4%。 2023 OSSRA 报告基于对并购交易中涉及

2023-10-12

curl 8.4.0 已正式发布,创始人 Daniel Stenberg(社区称号 bagder)已提前一周预告了该版本——修复高危安全漏洞,并称该漏洞可能是很长一段时间以来 curl 遇到的最严重漏洞,同时影响到 libcurl 库和 curl 工具。 根据介绍,这个高

2022-03-09

建议,将补丁发送到 LKML(不含漏洞详细信息)2022-02-23:发布包含错误修复的 Linux 稳定版本 (5.16.11、5.15.25、5.10.102)2022-02-24:Google 将错误修复合并到 Android 内核2022-02-28:通知 linux-distros 邮件列表2022-03-07:公开披露

2024-07-03

影响版本号 8.5p1 ~ 9.7p1..... https://security-tracker.debian.org/tracker/CVE-2024-6387 https://ubuntu.com/security/CVE-2024-6387 TL:DR: CVE-2024-6387 is a Remote Unauthenticated Code Execution vulnerability in glibc-based Linux systems. Don't panic, as exploitation has currently only been

2021-12-24

2-23 漏洞简述 2021年12月23日,360CERT监测发现Apache官方发布了安全通告 ,修复了多个漏洞,其中包含的漏洞编号有:CVE-2021-44224、CVE-2021-44790,漏洞等级:高危,漏洞评分:8.2。 Apache HTTP Server是Apache软件基金会的一个开放源

2022-09-25

复 CVE-2022-32222: 在 macOS 上启动时从 /home/iojs/build/ 读取openssl.cnf(中等) CVE-2022-32213: HTTP Request Smuggling - Flawed Parsing of Transfer-Encoding (Medium) Insufficient fix on v18.5.0 CVE-2022-32215: HTTP Request Smuggling - Incorrect Parsing of Multi-line Tra

2023-09-13

加低代码开发模式配置 jeecg.jmreport.firewall.lowCodeMode: prod 发布模式下会关闭所有报表设计相关接口,普通用户只能访问报表不能做任何报表修改,彻底解决被攻击风险 为了便于线上报表临时维护,拥有角色 "admin"、"lowdeveloper" 的

2021-11-18

Synopsys 最新发布了一份“2021 Software Vulnerability Snapshot”研究报告,基于对 2600 个软件或系统目标进行的 3900 次测试。其中,83% 的测试目标是 Web 应用程序或系统、12% 是移动应用程序、其余为源代码或网络系统/应用。参与测试的

2024-04-02

统信软件发布公告称,在开源软件 liblzma/xz 5.6.0 及 5.6.1 版本存在安全漏洞的消息被披露后,已对旗下所有产品完成了排查,确认包括统信UOS桌面操作系统与服务器操作系统各版本均不受其影响,各位用户可放心使用。 漏洞描

2024-04-09

使用,因此此安全漏洞的影响面较广。 漏洞危害等级:高危。 漏洞影响范围:5.6.0<=xz-utils<=5.6.1。   deepin(深度)操作系统受影响情况分析 deepin V23 上 xz-utils 的版本为 5.4.5,不在漏洞影响范围内,不受该漏