今天公开了两个影响OpenSSL的高严重度安全漏洞,这也是导致Fedora 37被推迟到11月中旬的问题,以便让发布的镜像文件中包含缓解问题的OpenSSL包。今天公开的OpenSSL漏洞是一个X.509电子邮件地址4字节缓冲区溢出漏洞(CVE-2022-3602)和一个X.509电子邮件地址可变长度缓冲区溢出漏洞(CVE-2022-3786)。
这两个漏洞都与X.509证书验证中的缓冲区溢出有关。CVE-2022-3602是最初被认为是危险等级达到"危急"的漏洞,也是导致Fedora 37被推迟的原因。
然而,经过进一步分析,他们决定将其降级为"高度"严重性。
之前的OpenSSL 3.0.7版本受到这些漏洞的影响,但不包括旧的OpenSSL 1.x版本。
关于这些OpenSSL安全漏洞的更多细节请参见OpenSSL.org:
https://www.openssl.org/news/secadv/20221101.txt
面向OpenSSL 3.0.7版本已经有了修复措施: