cve - 2022 - 3786和cve - 2022 - 3602: OpenSSL两个高严重漏洞补丁
OpenSSL修补两个漏洞,从其早些时候宣布,旋转3.0.7版本。
背景
10月25日,OpenSSL宣布即将推出的新版本的OpenSSL 3.0.7版本将包含一个关键漏洞的补丁。发布公告之前的一个星期,留下充足的时间投机的性质和影响的脆弱性。
11月1日,OpenSSL 3.0.7和发布版本更新它的公告,声称调查干预一周一个漏洞透露,最初似乎只有高程度至关重要。版本还包括第二高的严重缺陷。与释放3.0.7 OpenSSL修补cve - 2022 - 3786和cve - 2022 - 3602,两个缓冲区溢出可能导致拒绝服务。他们影响OpenSSL版本3.0后来,最早从2021年9月以来,使用。
首次出版的时候,没有可用的公共概念论证的剥削在野外或报告这两种缺陷。
同时广泛利用的可能性很低,组织应该优先考虑修补影响应用程序和服务更新可用。
分析
cve - 2022 - 3786和cve - 2022 - 3602缓冲区溢出漏洞的名字约束检查OpenSSL的证书验证功能。缺陷都被评为高严重性。开发时一个证书包含一个精雕细琢punycode-encoded邮件地址旨在引发缓冲区溢出。成功开发可能导致拒绝服务(DOS)条件。
cve - 2022 - 3602最初被认为是至关重要的由于远程代码执行的可能性(远端控制设备)。然而,在其预先知会过程,OpenSSL确定潜在的远端控制设备减轻由于现代平台包含堆栈溢出保护,在某些Linux发行版,远端控制设备和DOS并不可行。一般来说,远端控制设备的风险很低,虽然不为零,这就是为什么改变了脆弱性的严重程度从高的关键。
利用这两个缺陷,攻击者需要说服一个证书颁发机构签署一个恶意的证书或“证书验证的应用程序继续尽管未能建立一个路径受信任的发行者”。
OpenSSL说,这些缺陷在OpenSSL 3.0.0 punycode解码功能的添加后,用于“处理电子邮件地址的名字约束证书。“因此,这一缺陷只影响通过OpenSSL 3.0.6 OpenSSL 3.0.0。
解决方案
OpenSSL 3.0.7已经发布版本来解决这些漏洞。可以找到下载的新版本在这里。
确定影响系统
一个站得住脚的列表插件来识别这些漏洞将会出现在这里当他们被释放。这个链接使用一个搜索过滤器来确保所有匹配插件覆盖率将会出现,因为它被释放。我们也有几个插件列表可以用于通用OpenSSL版本检测。
此外,站得住脚的评估可能影响我们的产品的范围,并将尽快发布必要的更新。我们仍致力于安全、保护我们的客户,我们的产品和更广泛的社区。
获得更多的信息
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。
得到一个天的免费试用站得住脚的。io脆弱性管理。
相关文章
常见问题:SEC新网络安全规则对信息安全意味着领导人
2023年7月28日,7月26日,美国证券交易委员会投票3 - 2采用新规则将要求一些新的网络安全从上市公司披露的信息。Here&rsquo网络安全领导人需要知道的。
cve - 2023 - 35078: Ivanti端点管理器移动(EPMM) / MobileIron核心未经身份验证的API访问漏洞
2023年7月25日关键漏洞从Ivanti流行的移动设备管理解决方案已经在野外利用有限的攻击
常见问题:SEC新网络安全规则对信息安全意味着领导人
2023年7月28日,7月26日,美国证券交易委员会投票3 - 2采用新规则将要求一些新的网络安全从上市公司披露的信息。Here&rsquo网络安全领导人需要知道的。
网络安全快照:证券交易委员会想要更多网络安全从上市公司透明度
2023年7月28日,找出在美国证券交易委员会(SEC)的新网络安全信息披露规则。另外,中钢协分析了网络风险影响关键基础设施的组织。同时,检查指导的影子和技巧来提高安全意识程序。和更多!
成立2023年的夺旗:你准备好测试的黑客技能吗?
2023年7月26日,站得住脚的竞争带来的年度黑客黑帽2023在混合面对面和在线体验,让世界各地的竞争对手有机会获得乐趣和测试他们的技能。
- 风险管理
- OpenSSL