OpenSSL 3.0.7修補的CVE-2022-3602,是一個任意4位元組的堆疊溢位漏洞,原本OpenSSL專案判定這項漏洞很可能導致遠端程式攻擊,但正式修補時已調降了這項漏洞的嚴重性
文/陳曉莉 | 2022-11-02發表
OpenSSL專案於本周二(11/1)釋出了OpenSSL 3.0.7,修補CVE-2022-3602與CVE-2022-3786兩個安全漏洞,原本CVE-2022-3602被列為重大(Critical)風險漏洞,但在本周正式修補時已被降級成高度(High)風險漏洞。
OpenSSL為一開源程式碼庫,主要提供網路上的安全通訊,當使用者瀏覽網路時,所瀏覽的網站或服務底層都使用了OpenSSL,可見其影響性。
根據資安業者Check Point的說明,CVE-2022-3602漏洞是在OpenSSL檢查X.509憑證時,因對Punycode的不當處理而被觸發,可能造成遠端程式攻擊。
OpenSSL專案指出,有鑑於CVE-2022-3602是一個任意4位元組的堆疊溢位漏洞,這類的漏洞很可能導致遠端程式攻擊,因而一開始將它列為重大漏洞,但這一周以來,許多組織相繼針對該漏洞展開測試,顯示出某些Linux版本的堆疊布局,使得4位元組覆蓋一個未被使用的相鄰緩衝區,因而不會當掉或形成遠端程式攻擊,其次則是有不少現代平臺都導入了堆疊溢位保護機制,而能降低遠端程式攻擊的風險。
總而言之,OpenSSL專案判斷重大漏洞的依據,是遠端程式攻擊是否會在常見狀況下發現,上述分析顯示並非如此,因而調降了CVE-2022-3602漏洞的嚴重性。
另一個安全漏洞CVE-2022-3786則屬於X.509電子郵件位址可變長度緩衝區溢位漏洞,可造成服務阻斷,但不會引發遠端程式攻擊,亦被列為高度風險漏洞。
這兩個漏洞主要影響OpenSSL 3.0.0~3.0.6,並未波及先前的版本。OpenSSL專案建議,任何驗證來自不可靠來源之X.509憑證的OpenSSL 3.0應用,都應被視為受到相關漏洞的影響,包含那些使用TLS客戶端身分認證的TLS客戶端與伺服器,若無法立即更新系統,可考慮暫時關閉TLS伺服器上的客戶端認證。
線