OpenSSL曝出2个远程代码执行高危安全漏洞，已发布安全补丁

OpenSSL曝出2个高危漏洞，这些漏洞可能导致拒绝服务 (DoS) 和远程代码执行，目前项目方已紧急推出修复程序。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，该两个高危漏洞的漏洞号为 CVE-2022-3602 和 CVE-2022-3786，属于缓冲区溢出漏洞，可以通过提供特制的电子邮件地址在 X.509 证书验证期间触发。

在 TLS 客户端中，这可以通过连接到恶意服务器来触发，在 TLS 服务器中，如果服务器请求客户端身份验证并且恶意客户端连接，则可以触发此操作。

OpenSSL 是用于安全通信的 SSL 和 TLS 协议的开源实现，并被集成到多个操作系统和广泛的软件中。该库的 3.0.0 至 3.0.6 版本受到本次高危漏洞的影响，该漏洞已在 3.0.7 版本中得到修复。值得注意的是，通常部署的 OpenSSL 1.x 版本并不容易受到攻击。

虽然 CVE-2022-3602 最初被视为严重漏洞，但其严重性已被降级为高，理由是现代平台中的堆栈溢出保护。OpenSSL 项目进一步指出，这些漏洞是在 OpenSSL 3.0.0 中作为punycode解码功能的一部分引入的，该功能目前用于处理 X.509 证书中的电子邮件地址名称约束。

网络安全研究人员表示，该漏洞的可利用性非常有限，因为漏洞发生在证书验证之后，并且需要 CA 签署恶意证书或让应用程序继续进行证书验证，尽管未能构建通向受信任颁发者的路径。

具体而言，配置为相互身份验证的实现，其中客户端和服务器都提供 OpenSSL 提供的身份验证证书，肯定应该快速跟踪此更新。

新的 OpenSSL 漏洞不会影响证书的颁发或使用，没有组织需要基于此漏洞撤销或重新颁发证书。

OpenSSL 解决的最后一个严重漏洞是在 2016 年 9 月，当时它关闭了CVE-2016-6309，这是一个释放后使用的错误，可能导致崩溃或执行任意代码。全球有近 240,000 台可公开访问的服务器运行 OpenSSL 版本，这些版本在 Heartbleed 最初发现八年后仍然容易受到攻击。

OpenSSL 软件工具包受到 Heartbleed ( CVE-2014-0160 ) 的影响最为显着，这是 TLS/DTLS 心跳扩展实现中的一个严重内存处理问题，使攻击者能够读取目标服务器的部分内存。

像 OpenSSL 这样的软件库中的一个严重漏洞，它使用如此广泛，对互联网上的数据安全至关重要，任何组织都不能忽视这一漏洞。

OpenSSL 警告说，该漏洞对于没有适当保护措施的系统可能至关重要，理论上会导致在某些架构和平台上远程执行代码。