一、背景介绍

近日，市委网信办技术支撑单位监测到 OpenSSL官方发布了漏洞公告，OpenSSL在验证X.509证书时存在两个缓冲区溢出漏洞，包括 OpenSSL拒绝服务漏洞(CVE-2022-3786)和OpenSSL远程代码执行漏洞(CVE-2022-3602)。

1.1漏洞描述

CVE-2022-3786：OpenSSL拒绝服务漏洞

此缓冲区溢出可能导致崩溃（导致拒绝服务），在 TLS客户端中，这可以通过连接到恶意服务器来触发，在 TLS服务器中，如果服务器请求客户端身份验证并且与恶意客户端连接，则可以触发此操作。

CVE-2022-3602：OpenSSL远程代码执行漏洞

漏洞存在于 ossl_punycode_decode函数中，当客户端或服务器配置为验证 X.509证书时调用此函数，攻击者可以通过在电子邮件地址字段的域中创建包含 punycode的特制证书来利用该漏洞。

1.2漏洞编号

CVE-2022-3786

CVE-2022-3602

二、修复建议

2.1受影响版本

OpenSSL 3.x < 3.0.7

2.2修复建议

目前 OpenSSL官方已正式发布修复版本，建议受影响用户尽快升级至安全版本。

OpenSSL 3.x升级到 3.0.7版本，可从地址中下载升级：

https://www.openssl.org/source/mirror.html

注：若使用的应用程序自行打包 OpenSSL时，例如 Node.js 17.x、18.x或19.x，则需要升级应用程序本身。