OpenSSL项目于本周二(11/1)发布了OpenSSL 3.0.7,修补CVE-2022-3602与CVE-2022-3786两个安全漏洞,原本CVE-2022-3602被列为重大(Critical)风险漏洞,但在本周正式修补时已被降级成高度(High)风险漏洞。
OpenSSL为一开源程序代码库,主要提供网络上的安全通信,当用户浏览网络时,所浏览的网站或服务底层都使用了OpenSSL,可见其影响性。
根据安全企业Check Point的说明,CVE-2022-3602漏洞是在OpenSSL检查X.509凭证时,因对Punycode的不当处理而被触发,可能造成远程程序攻击。
OpenSSL项目指出,有鉴于CVE-2022-3602是一个任意4字节的堆栈溢出漏洞,这类的漏洞很可能导致远程程序攻击,因而一开始将它列为重大漏洞,但这一周以来,许多组织相继针对该漏洞展开测试,显示出某些Linux版本的堆栈布局,使得4字节覆盖一个未被使用的相邻缓冲区,因而不会宕掉或形成远程程序攻击,其次则是有不少现代平台都导入了堆栈溢出保护机制,而能降低远程程序攻击的风险。
总而言之,OpenSSL项目判断重大漏洞的依据,是远程程序攻击是否会在常见状况下发现,上述分析显示并非如此,因而调降了CVE-2022-3602漏洞的严重性。
另一个安全漏洞CVE-2022-3786则属于X.509电子邮件地址可变长度缓冲区溢出漏洞,可造成服务阻断,但不会引发远程程序攻击,也被列为高度风险漏洞。
这两个漏洞主要影响OpenSSL 3.0.0~3.0.6,并未波及先前的版本。OpenSSL项目建议,任何验证来自不可靠来源之X.509凭证的OpenSSL 3.0应用,都应被视为受到相关漏洞的影响,包含那些使用TLS客户端身份认证的TLS客户端与服务器,若无法立即更新系统,可考虑暂时关闭TLS服务器上的客户端认证。