OpenSSL 3.0 - สรุปช่องโหว่ CVE-2022-3602, CVE-2022-3786 และแนวทางรับมือ

 (asecurity.dev)
8 คะแนน โดย regentag 2022-11-02 | 3 ความคิดเห็น | แชร์ทาง WhatsApp
  • ช่องโหว่ที่ประกาศครั้งนี้เกี่ยวข้องกับ X.509 Email Address Buffer Overflow
  • อาจเกิดขึ้นได้เมื่อใบรับรองมีที่อยู่อีเมลที่เข้ารหัสด้วย Punycode ซึ่งถูกปรับแต่งเป็นพิเศษให้สามารถทริกเกอร์บัฟเฟอร์โอเวอร์โฟลว์ได้
  • ตอนที่ประกาศครั้งแรกถูกจัดเป็น Critical แต่ในวันที่ 1 พฤศจิกายนได้ลดระดับลงเป็น High
    • มีการปรับระดับความเสี่ยงเนื่องจากพบว่าใกล้เคียงกับช่องโหว่ DoS (การปฏิเสธการให้บริการ) มากกว่าการเป็น RCE (Remote Command Execution, การรันคำสั่งจากระยะไกล)

บทความที่เกี่ยวข้อง

3 ความคิดเห็น

 
richardk 2022-11-03

บริการของ AWS ไม่ได้รับผลกระทบ และไม่ต้องให้ลูกค้าดำเนินการใด ๆ

https://aws.amazon.com/security/security-bulletins/AWS-2022-008/
 
alus20x 2022-11-02

ขอบคุณสำหรับสรุปครับ!
ในบรรทัดที่ 4 ตัวย่อของการรันโค้ดระยะไกลคือ RCE แต่พิมพ์ผิดเป็น REC นะครับ