Avisos sobre serviços

Todos os avisos > Avisos sobre segurança > Vulnerabilidades de estouro de buffer no OpenSSL (CVE-2022-3602 e CVE-2022-3786)

Vulnerabilidades de estouro de buffer no OpenSSL (CVE-2022-3602 e CVE-2022-3786)

11 de Novembro de 2022, GMT+08:00

I. Descrição

Recentemente, foi divulgado que existem duas vulnerabilidades de estouro de buffer consideradas de alto risco (CVE-2022-3602 e CVE-2022-3786) nas versões do OpenSSL 3.0.x. O OpenSSL tem uma falha na verificação do certificado X.509, que permite que endereços de e-mail maliciosos causem o estouro de buffer. A exploração bem-sucedida desta vulnerabilidade pode causar negação de serviço (DoS) ou execução remota de código.

OpenSSL é uma poderosa biblioteca de senhas secure socket layer (SSL). Se você for um usuário do OpenSSL, verifique a sua versão do OpenSSL e implemente medidas para a mitigação de riscos à segurança prontamente.

Referência: https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

II. Gravidade

Gravidade: importante

(Gravidade: baixa, moderada, importante e crítica)

III. Produtos afetados

Versões afetadas:

3.0.0 <= OpenSSL < 3.0.7

Versões seguras:

OpenSSL 3.0.7

As versões 1.x e 2.x do OpenSSL não são afetadas pelas duas vulnerabilidades.

IV. Recomendações de segurança

As duas vulnerabilidades foram corrigidas na versão 3.0.7. Atualize sua versão afetada para uma versão segura.

https://www.openssl.org/source/

Observação: antes de corrigir vulnerabilidades, faça o backup dos seus arquivos e realize um teste completo.