OpenSSL发布了针对2个新的高严重性漏洞的修补程序

OpenSSL项目已推出修复程序，以包含其广泛使用的密码库中的两个严重缺陷，这可能会导致拒绝服务（DoS）和远程代码执行。

这些问题被称为CVE-2022-3602和CVE-2022-3 786，被描述为缓冲区溢出漏洞，在X.509证书验证过程中，通过提供特制的电子邮件地址可以触发这些漏洞。

OpenSSL在CVE-2022-3786的一份咨询中表示：“在TLS客户端中，这可以通过连接到恶意服务器来触发”。在TLS服务器中，如果服务器请求客户端身份验证并且恶意客户端连接，则会触发此操作。

OpenSSL是用于安全通信的SSL和TLS协议的一种开源实现，并融入了多种操作系统和广泛的软件中。

库的3.0.0到3.0.6版本受新缺陷的影响，已在3.0.7版本中修复。值得注意的是，通常部署的OpenSSL 1.x版本不易受攻击。

据Censys共享的数据，截至2022年10月30日，大约有7062台主机运行易受攻击的OpenSSL版本，其中大多数主机位于美国、德国、日本、中国、捷克、英国、法国、俄罗斯、加拿大和荷兰。

虽然CVE-2022-3602最初被视为严重漏洞，但由于现代平台中的堆栈溢出保护，其严重性已降级为高。安全研究人员北极熊（Polar Bear）和维克多·杜霍夫尼（Viktor Dukhovni）因在2022年10月17日和18日报告了CVE-2022-3602和CVE-2022-3 786而受到赞扬。

OpenSSL项目进一步指出，漏洞是在OpenSSL 3.0.0中引入的，作为punycode解码功能的一部分，该功能目前用于处理X.509证书中的电子邮件地址名称约束。

尽管严重程度有所变化，OpenSSL表示，它认为“这些问题是严重的漏洞，鼓励受影响的用户尽快升级”。

OpenSSL的最新版本3.0与Linux操作系统捆绑在一起，如Ubuntu 22.04 LTS、CentOS、macOS Ventura和Fedora 36等。使用受影响的Linux版本构建的容器映像也会受到影响。

根据Docker发布的一份咨询意见，大约1000个图像库可能会受到各种Docker官方图像和Docker Verified Publisher图像的影响。

OpenSSL解决的最后一个关键缺陷是在2016年9月，当时它关闭了CVE-2016-6309，这是一个使用后释放的错误，可能导致崩溃或执行任意代码。

OpenSSL软件工具包受到Heartbleach（CVE-2014-0160）的影响最为明显，Heartblease是TLS/DTLS心跳扩展实现中的一个严重内存处理问题，使攻击者能够读取目标服务器的部分内存。

SentinelOne表示：“像OpenSSL这样的软件库中的一个关键漏洞是任何组织都不能忽视的，因为它被广泛使用，对互联网上的数据安全至关重要”。