OpenSSL缓冲区溢出漏洞预警（CVE-2022-3602、CVE-2022-3786）

2022-11-03

一、概要

近日，华为云关注到OpenSSL官方发布安全公告披露在3.0.x版本中存在两处高危的缓冲区溢出漏洞（CVE-2022-3602、CVE-2022-3786）。由于OpenSSL 中 在X.509 证书验证时存在缺陷，可以通过制作恶意电子邮件地址触发缓冲区溢出，成功利用漏洞可导致拒绝服务或潜在的远程代码执行。

OpenSSL是一款强大的安全套接字层密码库。华为云提醒使用OpenSSL的用户及时安排自检并做好安全加固。

参考链接：https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

3.0.0 <= OpenSSL < 3.0.7

安全版本：

OpenSSL 3.0.7

OpenSSL 1.x和2.x版本不受漏洞这两个漏洞影响

四、安全建议

目前官方已在3.0.7版本中修复了这两处漏洞，请受影响的用户升级至安全版本：

https://www.openssl.org/source/

注：修复漏洞前请将资料备份，并进行充分测试。