Avisos sobre serviços
Vulnerabilidades de estouro de buffer no OpenSSL (CVE-2022-3602 e CVE-2022-3786)
11 de Novembro de 2022, GMT+08:00
I. Descrição
Recentemente, foi divulgado que existem duas vulnerabilidades de estouro de buffer consideradas de alto risco (CVE-2022-3602 e CVE-2022-3786) nas versões do OpenSSL 3.0.x. O OpenSSL tem uma falha na verificação do certificado X.509, que permite que endereços de e-mail maliciosos causem o estouro de buffer. A exploração bem-sucedida desta vulnerabilidade pode causar negação de serviço (DoS) ou execução remota de código.
OpenSSL é uma poderosa biblioteca de senhas secure socket layer (SSL). Se você for um usuário do OpenSSL, verifique a sua versão do OpenSSL e implemente medidas para a mitigação de riscos à segurança prontamente.
Referência: https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
II. Gravidade
Gravidade: importante
(Gravidade: baixa, moderada, importante e crítica)
III. Produtos afetados
Versões afetadas:
3.0.0 <= OpenSSL < 3.0.7
Versões seguras:
OpenSSL 3.0.7
As versões 1.x e 2.x do OpenSSL não são afetadas pelas duas vulnerabilidades.
IV. Recomendações de segurança
As duas vulnerabilidades foram corrigidas na versão 3.0.7. Atualize sua versão afetada para uma versão segura.
https://www.openssl.org/source/
Observação: antes de corrigir vulnerabilidades, faça o backup dos seus arquivos e realize um teste completo.