OpenSSL 发布 3.0.7 修复两个“高危”漏洞

2022-11-03 發表於 开源资讯

OpenSSL 已发布 3.0.7 修复两个高危漏洞:CVE-2022-3786 和 CVE-2022-3602。官方建议 OpenSSL 3.0.x 用户应升级到 OpenSSL 3.0.7,因为这两个漏洞影响 OpenSSL 3.0.0 至 3.0.6 版本,不影响 OpenSSL 1.1.1 和 1.0.2

OpenSSL 团队表示,目前尚未发现利用上述漏洞的案例。此外,由于 OpenSSL 不会跟踪项目的使用情况,所以也没有关于受影响的服务器的统计数据。只是建议用户升级到最新版本。

CVE-2022-3602 漏洞最初被 OpenSSL 团队评估为"CRITICAL"(严重)等级——因为可能会导致 RCE,但经过测试和评估,该漏洞在 2022 年 11 月 1 日被降级为"HIGH"(高危)

  • CVE-2022-3602:X.509 电子邮件地址 4 字节缓冲区溢出漏洞

由于 OpenSSL 3.0.0 - 3.0.6 版本中在 X.509 证书验证中存在缓冲区溢出漏洞,可以通过制作恶意电子邮件地址以溢出堆栈上的 4 个字节,成功利用此漏洞可用于发起 Dos 攻击或远程代码执行。

  • CVE-2022-3786:X.509 电子邮件地址可变长度缓冲区溢出漏洞

由于 OpenSSL 3.0.0 - 3.0.6 版本中在 X.509 证书验证中存在缓冲区溢出漏洞,可以通过在证书中制作恶意电子邮件地址以溢出堆栈中包含“.”字符(十进制 46)的任意字节数,成功利用此漏洞可用于发起 DoS 攻击。

详情查看 OpenSSL 官方公告。

延伸阅读

  • 因严重 OpenSSL 漏洞,Fedora 37 延迟至 11 月中旬发布

相關推薦

谷歌发布 Chrome 更新,修复多个高危漏洞

2025-08-14

谷歌发布了最新版 Chrome 浏览器更新,修复多个高严重级别安全漏洞,这些漏洞可能允许攻击者在用户设备上执行任意代码。 此次更新适用于 Windows、macOS 和 Linux 平台的版本:[139.0.7258.127/.128 (Windows/macOS)] 和 [139.0.7258.127 (Linux)]

Spring 框架存在高危 RCE 零日漏洞,请马上升级!

2022-03-31

RCE),使用 JDK9 及以上版本皆有可能受到影响。 正在紧急修复? 从 Spring 项目的 Git 提交记录来看,在漏洞消息疯传的同时, Spring 开发者似乎在紧急处理漏洞相关的代码,比如 3 月 29日的新提交:。 在这个敏感的时间点,该

因严重 OpenSSL 漏洞,Fedora 37 延迟至 11 月中旬发布

2022-10-29

Fedora 项目经理 BEN COTTON 在博客中的介绍:因严重的 OpenSSL 漏洞,原定于 10 月中旬发布的 Fedora 37 将延迟至 11 月中旬发布。 10 月 25 日,OpenSSL 团队在邮件和推特中宣布 OpenSSL 3.x 版本出现了一个非常严重的安全漏洞,将

谷歌修复 Chrome V8 引擎高危漏洞 CVE-2025-9132

2025-08-26

Google 近日发布 Chrome 稳定版更新,修复了 V8 JavaScript 引擎中的一个高危漏洞(CVE-2025-9132)。该漏洞属于 越界写入(out-of-bounds write),攻击者可通过恶意网页触发内存破坏,进而导致浏览器崩溃或远程代码执行。 此次更新覆盖

Docker Desktop 修复高危漏洞 CVE-2025-9074

2025-08-27

Docker 近日发布更新,修复了 Docker Desktop 在 Windows 10/11 和 macOS 版本中存在的一处高危漏洞。该漏洞编号为 CVE-2025-9074,评分高达 9.3/10,利用难度低,风险极高。官方已在 Docker Desktop v4.44.3 中完成修复,建议所有用户立即升级。

谷歌向发现 Chrome 高危漏洞的安全研究员奖励 25 万美元

2025-08-13

严重性为 S0/S1 级,并列为 P1 优先级修复。 谷歌已于 5 月发布的 Chrome 更新中修复该漏洞,并在 8 月 12 日公开披露细节。 根据谷歌“漏洞猎人(Google Bug Hunters)”计划,提交包含 RCE 演示的高质量非沙盒进程逃逸或内存损坏漏

Ruby 3.1.3、3.0.5、2.1.7 发布,修复高危漏洞

2022-11-25

Ruby 3.1.3、3.0.5、2.1.7 发布了,这几个版本都只包含一个安全修复程序,修复了同一个漏洞: CVE-2021-33621:CGI 中的 HTTP 响应拆分 如果应用程序使用带有不受信任的用户输入的 cgi gem 生成 HTTP 响应,则攻击者可以利用它来注入

开源大模型推理框架 vLLM 被曝高危远程代码执行漏洞(已修复)

2025-05-24

控制GPU服务器,窃取模型、算力或中断服务。vLLM团队已修复该漏洞并致谢腾讯朱雀实验室。 漏洞技术细节 vLLM 最初由加州大学伯克利分校 Sky Computing 实验室开发,现已成为社区驱动的开源项目,为 LLM 推理和服务提供快速易

openLooKeng 开源社区 Apache Log4j2 高危安全漏洞居然还未修复,建议用户不要升级

2021-12-16

修复方案】 升级至最新组件:log4j-2.15.0,其中2.15.0的发布时间应该为2021-12-09 23:46的版本! ◎ 方案1 - 修改代码 针对ES connector 和Ranger plugin,更新代码,移除log4j的依赖。关联PR如下 : 备注:由于Ranger社区尚未修复log4j

AI 绘图工具 ComfyUI 存在多个高危漏洞

2025-05-28

安全通报中心今日发文,称 AI 绘图工具 ComfyUI 存在多个高危漏洞,包含任意文件读取、远程代码执行等多个历史高危漏洞(CVE-2024-10099、CVE-2024-21574、CVE-2024-21575、CVE-2024-21576、CVE-2024-21577)。 公告写道,攻击者可利用上述漏洞

Next.js 中间件曝高危漏洞 CVE-2025-29927,授权绕过风险波及全版本

2025-03-25

2.0 12.2.0 ≤ Next.js < 14.2.25 15.0.0 ≤ Next.js < 15.2.3 修复方案 立即升级至安全版本: Next.js 15.x → ≥15.2.3 (更新日志) Next.js 14.x → ≥14.2.25 (更新日志) 临时缓解措施:在 CDN/反向代理层过滤 x-middleware-subrequest&n

84% 的代码库至少包含一个已知的开源漏洞

2023-02-25

应用安全公司 Synopsys 最新发布的 2023 年开源安全和风险分析 (Open Source Security and Risk Analysis,OSSRA) 报告指出,绝大多数代码库 (84%) 至少包含一个已知的开源漏洞,相较去年增加了近 4%。 2023 OSSRA 报告基于对并购交易中涉及

curl 8.4.0 正式发布,修复 SOCKS5 堆溢出漏洞,建议升级

2023-10-12

curl 8.4.0 已正式发布,创始人 Daniel Stenberg(社区称号 bagder)已提前一周预告了该版本——修复高危安全漏洞,并称该漏洞可能是很长一段时间以来 curl 遇到的最严重漏洞,同时影响到 libcurl 库和 curl 工具。 根据介绍,这个高

Linux 内核最新高危提权漏洞:脏管道 (Dirty Pipe)

2022-03-09

建议,将补丁发送到 LKML(不含漏洞详细信息)2022-02-23:发布包含错误修复的 Linux 稳定版本 (5.16.11、5.15.25、5.10.102)2022-02-24:Google 将错误修复合并到 Android 内核2022-02-28:通知 linux-distros 邮件列表2022-03-07:公开披露

熱門推薦