点击上方蓝字关注我们
漏洞预警
01
漏洞基本概述
Vulnerability Overview
漏洞存在于ossl_punycode_decode函数,当客户端或服务器配置为验证X.509证书时调用此函数,攻击者可以通过在电子邮件地址字段的域中创建包含 punycode 的特制证书来利用该漏洞,导致服务崩溃或潜在的远程代码执行。
【风险等级】高 危
禾盾科技应急团队建议广大用户及时将OpenSSL升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
02
漏洞影响范围
Vulnerability Impact
OpenSSL 3.0.x < 3.0.7
03
漏洞修复方案
Vulnerability Fixes
目前OpenSSL官方已正式发布修复版本,建议受影响用户尽快升级至安全版本。
注:若使用的应用程序自行打包OpenSSL时,例如 Node.js 17.x、18.x 或 19.x,则需要升级应用程序本身。
尽快将OpenSSL 3.x 升级到3.0.7版本
下载链接:
https://www.openssl.org/source/mirror.html04
漏洞参考链接
Vulnerability Fixes Link
https://securitylabs.datadoghq.com/articles/openssl-november-1-vulnerabilities/#exploitation-technical-detailshttps://www.openssl.org/news/secadv/20221101.txt
05
漏洞时间滚轴
Vulnerability Time
#发现时间#2022年11月01日
#验证时间#2022年11月02日
#通告时间#2022年11月03日
END
