OpenSSL出现高危漏洞，请立即升级！

原创微步情报局微步在线研究响应中心

收录于合集

01 漏洞概况

近日，微步捕获到 OpenSSL 缓冲区溢出漏洞(CVE-2022-3602)相关情报，攻击者可以利用该漏洞造成缓冲区溢出, 可能造成远程代码执行。OpenSSL 是一个强大的、商业级的、功能齐全的工具包，用于通用加密和安全通信。当应用程序验证不受信任的X.509证书（包括TLS证书）时, 可能被攻击者利用此漏洞, 该漏洞已经在 OpenSSL 3.0.7 版本被修复。

此次受影响版本如下：

OpenSSL	是否受影响
OpenSSL 3.0.0 - 3.0.6	是

02 漏洞评估

公开程度：已出现 PoC

利用条件：无权限要求

交互要求：0 click

漏洞危害：高危

影响范围：OpenSSL 3.0.0 - 3.0.6

03 修复方案

1、对于自主编译使用 OpenSSL 的用户，且 OpenSSL 版本为3.0.0 - 3.0.6 ，请尽快升级至3.0.7。

参考链接: https://www.openssl.org/source/

2、对于应用程序中使用了 OpenSSL 的用户，请检查相关库的版本，并联系应用厂商进行更新。

04 时间线

2022.11.01 厂商发布该漏洞补丁
2022.11.02 微步获取该漏洞相关情报
2022.11.03 微步情报局发布漏洞通告

点击下方名片，关注我们

第一时间为您推送最新威胁情报

OpenSSL出现高危漏洞，请立即升级！

04 时间线 2022.11.01 厂商发布该漏洞补丁2022.11.02 微步获取该漏洞相关情报2022.11.03 微步情报局发布漏洞通告

04 时间线 2022.11.01 厂商发布该漏洞补丁2022.11.02 微步获取该漏洞相关情报2022.11.03 微步情报局发布漏洞通告

2022.11.02 微步获取该漏洞相关情报

2022.11.03 微步情报局发布漏洞通告

04 时间线

2022.11.01 厂商发布该漏洞补丁
2022.11.02 微步获取该漏洞相关情报
2022.11.03 微步情报局发布漏洞通告

04 时间线

2022.11.01 厂商发布该漏洞补丁
2022.11.02 微步获取该漏洞相关情报
2022.11.03 微步情报局发布漏洞通告