| Produkt | OpenSSL – wersja 3.0.0 to 3.0.6 |
| Numer CVE | CVE-2022-3602 |
| Krytyczność | 9.1/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Opis | Luka wynika z błędu granicznego podczas przetwarzania pola adresu e-mail w certyfikacie X.509. Zdalny atakujący może dostarczyć aplikacji specjalnie spreparowany certyfikat, wywołać 4-bajtowe przepełnienie bufora i wykonać dowolny kod w systemie docelowym. Pomyślne wykorzystanie tej luki może skutkować całkowitym złamaniem luki w systemie, ale wymaga podpisania złośliwego certyfikatu przez urząd certyfikacji lub kontynuowania weryfikacji certyfikatu przez aplikację pomimo niepowodzenia utworzenia ścieżki do zaufanego wystawcy. |
| Numer CVE | CVE-2022-3786 |
| Krytyczność | 7.5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Opis | Luka wynika z błędu granicznego podczas przetwarzania długości pola adresu e-mail w certyfikacie X.509. Osoba atakująca zdalnie może dostarczyć specjalnie spreparowany certyfikat do aplikacji, spowodować przepełnienie bufora i awarię aplikacji. |
| Aktualizacja | TAK |
| Link | https://www.openssl.org/news/secadv/20221101.txt |
Aktualizacja krytycznej podatności w OpenSSL
Powiązane
Ponad 10-letnie podatności w narzędziu needrestart
1 dzień temu
Jak wybrać odpowiedni łańcuch do roweru?
1 tydzień temu
