报告编号：B6-2022-110201

报告来源：360CERT

报告作者：360CERT

更新日期：2022-11-02

0x01   漏洞简述

2022年11月02日，360CERT监测发现OpenSSL官方发布了OpenSSL 3.0的风险通告，漏洞编号为CVE-2022-3602,CVE-2022-3786，漏洞等级：严重，漏洞评分：9.0。OpenSSL 3.0.0 - 3.0.6版本受到影响，openssl 官方建议使用3.0以上版本的用户尽快升级到OpenSSL 3.0.7以免遭受攻击。

OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。

对此，360CERT建议广大用户及时将OpenSSL升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   风险等级

360CERT对该漏洞的评定结果如下

0x03   漏洞详情

CVE-2022-3602: OpenSSL缓冲区溢出漏洞

CVE: CVE-2022-3602

组件: OpenSSL

漏洞类型: 缓冲区溢出

影响: 代码执行/拒绝服务

简述: 该漏洞存在于OpenSSL 中 X.509 证书验证的名称约束检查功能中，攻击者可通过制作恶意电子邮件地址导致任意 4 字节堆栈缓冲区溢出，最终导致远程代码执行或拒绝服务。

CVE-2022-3786: OpenSSL缓冲区溢出漏洞

CVE: CVE-2022-3786

组件: OpenSSL

漏洞类型: 缓冲区溢出

影响: 拒绝服务

简述: 该漏洞存在于OpenSSL 中 X.509 证书验证的名称约束检查功能中，攻击者可通过制作恶意电子邮件地址导致包含 “.” 字符（十进制46）的任意字节数堆栈缓冲区溢出，最终导致拒绝服务。

0x04   影响版本

openssl 受影响发行版

注意 nodejs 软件在 18 以上的版本会主动依赖 openssl 3.0 同样受到漏洞影响。

0x05   修复建议

通用修补建议

根据影响版本中的信息，排查并升级到安全版本。

0x06   产品侧解决方案

若想了解更多产品信息或有相关业务需求，可移步至http://360.net。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

0x07   时间线

2022-11-01 OpenSSL官方发布通告

2022-11-02 360CERT发布通告

0x08   参考链接

1、 https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

2、 https://nvd.nist.gov/vuln/detail/CVE-2022-3602

3、 https://nvd.nist.gov/vuln/detail/CVE-2022-3786