您好！

永信至诚报送1个漏洞预警（无关联漏洞编号）

1、产品描述：OpenSSL是主流的开源通用加密库，其3.0.0版本正式发布于2021年9月。

2、影响产品或组件及版本：OpenSSL@[3.0.0, 3.0.7)

3、受影响资产情况：通过资产测绘系统fofa发现，第一名美国、第二名中国、第三名日本

4、技术细节表述：受影响版本在 X.509 证书验证过程中（尤其在名称约束检查中）会触发缓冲区溢出，可能导致拒绝服务或远程代码执行。 缓冲区溢出发生在证书链签名验证之后，需要 CA 签署恶意证书或让应用程序在未能构建到受信任颁发者的路径时继续进行证书验证。攻击者可以构造恶意电子邮件地址利用可控的四个字节来溢出邻近缓冲区。由于新的 Linux 发行版中有栈溢出保护，实际执行远程代码的风险很小，大多数情况只可能导致拒绝服务。

攻击场景： 对于TLS 客户端，可以通过连接到恶意服务器来触发。 对于TLS 服务端，如果服务端请求客户端身份验证并且恶意客户端连接成功，则可以触发。

5、修补措施：将组件 OpenSSL 升级至 3.0.7 及以上版本

6、漏洞来源：

https://nvd.nist.gov/vuln/detail/CVE-2022-3602