- As vulnerabilidades anunciadas desta vez estão relacionadas a um buffer overflow no endereço de e-mail do X.509
- Isso pode ocorrer quando um certificado contém um endereço de e-mail codificado em Punycode especialmente manipulado para acionar o buffer overflow
- Quando foi divulgado pela primeira vez, foi classificado como Critical, mas em 1º de novembro foi rebaixado para High
- Confirmou-se que está mais próximo de uma vulnerabilidade de DoS (negação de serviço) do que de RCE (Remote Command Execution, execução remota), e por isso o nível de risco foi ajustado
3 comentários
Os serviços da AWS não são afetados, e nenhuma ação do cliente é necessária.
https://aws.amazon.com/security/security-bulletins/AWS-2022-008/
Obrigado pelo resumo!
Na 4ª linha, a sigla para execução remota é RCE, mas há um erro de digitação e foi escrito REC.
Lançamento do OpenSSL 3.0.7 com patch para CVE-2022-3786 / CVE-2022-3602