OpenSSL 修复2个高危漏洞（CVE-2022-3602/3786)

OpenSSL 修补了其用于加密通信通道和 HTTPS 连接的开源密码库中两个高危漏洞（ CVE-2022-3602 和 CVE-2022-3786），主要影响 OpenSSL 3.0.0 及更高版本，现已经在OpenSSL 3.0.7 中得到解决。

漏洞影响

CVE-2022-3602 ： 这是一个任意 4 字节堆栈缓冲区溢出漏洞，可能导致拒绝服务或远程代码执行。

CVE-2022-3786：该漏洞可以被攻击者通过恶意电子邮件地址利用，通过缓冲区溢出触发拒绝服务状态。

安全建议

虽然目前没有证据表明这两个漏洞已经被利用，但鉴于其具有很高的危险性，建议受影响的用户尽快安装更新升级补丁，以免遭受网络威胁。此外，OpenSSL 还提供了一些其它缓解措施，例如直到应用新补丁前，要求操作 TLS 服务器的管理员禁用 TLS 客户端认证。

CVE-2022-3602 漏洞危险指数下降

OpenSSL 最初发布的漏洞警告促使了管理员立即采取行动缓解漏洞，但之后鉴于 CVE-2022-3602 已被降级为高度严重，况且它只影响 OpenSSL 3.0 及更高版本，另外与 OpenSSL 密码库早期版本相比，最近发布的版本也尚未大量部署到生产中使用的软件上，因此造成的实际影响可能很有限。

尽管一些安全专家和供应商将此漏洞的危险性等同于 Apache Log4J 日志库中的 Log4Shell 漏洞，但在Censys 在线发现的 1793000 多个主机中，只有大约 7000个暴露在互联网上的系统正在运行易受攻击的OpenSSL 版本，Shodan 也列出了大约 16000 个可公开访问的 OpenSSL 实例。

云安全公司 Wiz.io表示：在分析了主要云环境（AWS、GCP、Azure、OCI和阿里巴巴云）中的部署后，发现只有 1.5% 的 OpenSSL 实例受到这一安全漏洞的影响。

在最新的 OpenSSL 版本中包含在多个流行的 Linux 发行版，网络安全公司 Akamai将Redhat Enterprise Linux 9、Ubuntu 22.04+、Kali 2022.3、Debian 12、CentOS Stream9 和 Fedora 36 标记为有漏洞。