OpenSSL 针对2个新的高严重性漏洞发布补丁

OpenSSL 项目在其广泛使用的加密库中推出了包含两个高严重性缺陷的修复程序，这两个缺陷可能导致拒绝服务(DoS)和远程代码执行。

这些问题被追踪为 CVE-2022-3602和 CVE-2022-3786，被描述为缓冲区溢出漏洞，可以在 X.509证书验证期间通过提供一个特制的电子邮件地址触发。

“在 TLS 客户端，这可以通过连接恶意服务器来触发,”OpenSSL 在针对 CVE-2022-3786的一份建议中说。“在 TLS 服务器中，如果服务器请求客户端身份验证，而恶意客户端连接，则可能触发此错误。”

OpenSSL 是用于安全通信的 SSL 和 TLS 协议的开放源代码实现，它被嵌入到多个操作系统和各种软件中。

库的3.0.0到3.0.6版本受到新缺陷的影响，这些缺陷已经在3.0.7版本中得到修复。值得注意的是，通常部署的 OpenSSL 1.x 版本并不容易受到攻击。

截至2022年10月30日，据 Censys 共享的数据显示，大约有7062个主机运行 OpenSSL 的易感版本，其中大部分位于美国、德国、日本、中国、 Czechia、英国、法国、俄罗斯、加拿大和荷兰。

虽然 CVE-2022-3602最初被视为关键漏洞，但其严重性后来被降级为 High，理由是现代平台中存在堆栈溢出保护。2022年10月17日和18日，安全研究人员Polar Bear和Viktor Dukhovni分别报告了 CVE-2022-3602和 CVE-2022-3786。

OpenSSL 项目进一步指出，这些 bug 是 OpenSSL3.0.0中引入的，作为 Punycode 解码功能的一部分，目前用于处理 X.509证书中的电子邮件地址名称约束。

尽管问题的严重性有所改变，但 OpenSSL 表示，它认为“这些问题是严重的漏洞，鼓励受影响的用户尽快升级。”

当前发布的 OpenSSL 版本3.0与 Linux 操作系统捆绑在一起，如 Ubuntu 22.04 LTS、 CentOS、 macOS Ventura 和 Fedora 36等。使用受影响的 Linux 版本构建的容器映像也会受到影响。

根据 Docker 发布的一份报告，大约有1000个图片库可能受到各种 Docker 官方图片和经过 Docker 验证的发布者图片的影响。  

OpenSSL 解决的最后一个重大缺陷是在2016年9月，当时它关闭了 CVE-2016-6309，这是一个免费使用后的缺陷，可能导致崩溃或任意代码的执行。

OpenSSL 软件工具包最显著的受到 Heartbleed(CVE-2014-0160)的影响，这是 TLS/DTLS 心跳扩展实现中的一个严重的内存处理问题，使攻击者能够读取目标服务器的部分内存。 

“像 OpenSSL 这样的软件库中的一个关键漏洞是任何组织都不能忽视的，因为它的使用非常广泛，对于互联网上的数据安全也非常重要,”SentinelOne 说。

更新：

• OpenSSL 发布了 OpenSSL 3.0.7，它对以下 CVE 进行了补丁: CVE-2022-3786(OpenSSL 通知)[高严重性] 
• CVE-2022-3602[高度严重性] 目前仍未修复。