隱私權聲明
本公司關心使用者隱私權與個人資訊,並遵守本公司的網站隱私政策,使用者若有任何問題,可以參考本公司的「網站隱私政策」,或利用電子郵件或連絡電話詢問本公司.
2022
11
07

OpenSSL釋出3.0.7,修補兩個高度風險漏洞[轉載自IThome]

關鍵字:網頁設計資訊安全

OpenSSL 3.0.7修補的CVE-2022-3602,是一個任意4位元組的堆疊溢位漏洞,原本OpenSSL專案判定這項漏洞很可能導致遠端程式攻擊,但正式修補時已調降了這項漏洞的嚴重性

文/陳曉莉 | 2022-11-02發表

 

OpenSSL專案於本周二(11/1)釋出了OpenSSL 3.0.7,修補CVE-2022-3602與CVE-2022-3786兩個安全漏洞,原本CVE-2022-3602被列為重大(Critical)風險漏洞,但在本周正式修補時已被降級成高度(High)風險漏洞。

OpenSSL為一開源程式碼庫,主要提供網路上的安全通訊,當使用者瀏覽網路時,所瀏覽的網站或服務底層都使用了OpenSSL,可見其影響性。

根據資安業者Check Point的說明,CVE-2022-3602漏洞是在OpenSSL檢查X.509憑證時,因對Punycode的不當處理而被觸發,可能造成遠端程式攻擊。

OpenSSL專案指出,有鑑於CVE-2022-3602是一個任意4位元組的堆疊溢位漏洞,這類的漏洞很可能導致遠端程式攻擊,因而一開始將它列為重大漏洞,但這一周以來,許多組織相繼針對該漏洞展開測試,顯示出某些Linux版本的堆疊布局,使得4位元組覆蓋一個未被使用的相鄰緩衝區,因而不會當掉或形成遠端程式攻擊,其次則是有不少現代平臺都導入了堆疊溢位保護機制,而能降低遠端程式攻擊的風險。

總而言之,OpenSSL專案判斷重大漏洞的依據,是遠端程式攻擊是否會在常見狀況下發現,上述分析顯示並非如此,因而調降了CVE-2022-3602漏洞的嚴重性。

另一個安全漏洞CVE-2022-3786則屬於X.509電子郵件位址可變長度緩衝區溢位漏洞,可造成服務阻斷,但不會引發遠端程式攻擊,亦被列為高度風險漏洞。

這兩個漏洞主要影響OpenSSL 3.0.0~3.0.6,並未波及先前的版本。OpenSSL專案建議,任何驗證來自不可靠來源之X.509憑證的OpenSSL 3.0應用,都應被視為受到相關漏洞的影響,包含那些使用TLS客戶端身分認證的TLS客戶端與伺服器,若無法立即更新系統,可考慮暫時關閉TLS伺服器上的客戶端認證。

你可能有興趣的作品案例
傑立資訊傑立資訊事業有限公司
Powered by AWS Cloud Computing

電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map

© 2019 傑立資訊 All rights reserved.| 網站隱私政策

線上詢價