服务公告

全部公告 > 安全公告 > OpenSSL缓冲区溢出漏洞预警(CVE-2022-3602、CVE-2022-3786)

OpenSSL缓冲区溢出漏洞预警(CVE-2022-3602、CVE-2022-3786)

2022-11-03

一、概要

近日,华为云关注到OpenSSL官方发布安全公告披露在3.0.x版本中存在两处高危的缓冲区溢出漏洞(CVE-2022-3602、CVE-2022-3786)。由于OpenSSL 中 在X.509 证书验证时存在缺陷,可以通过制作恶意电子邮件地址触发缓冲区溢出,成功利用漏洞可导致拒绝服务或潜在的远程代码执行。

OpenSSL是一款强大的安全套接字层密码库。华为云提醒使用OpenSSL的用户及时安排自检并做好安全加固。

参考链接:https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

3.0.0 <= OpenSSL < 3.0.7

安全版本:

OpenSSL 3.0.7

OpenSSL 1.x和2.x版本不受漏洞这两个漏洞影响

四、安全建议

目前官方已在3.0.7版本中修复了这两处漏洞,请受影响的用户升级至安全版本:

https://www.openssl.org/source/

注:修复漏洞前请将资料备份,并进行充分测试。