Ссылка скрыта от гостей
уязвимости в криптографической библиотеке с открытым исходным кодом. Бреши могли привести к DoS-атаке и удаленному выполнению кода. По данным Censys на конец октября, около 7000 серверов использовали уязвимую версию.Исправления к ошибкам анонсировали заранее. Уязвимости CVE-2022-3602 и CVE-2022-3786 связаны с переполнением буфера, злоумышленники могли использовать их при проверки сертификата X.509, подставив специально созданный адрес электронной почты.
Уязвимости заключаются в переполнении буфера в TLS-полях id-ce-subjectAltName и id-ce-nameConstraints при использовании кодировки Punycode. Это может привести к удаленному выполнению кода. Для этого злоумышленнику надо было выполнитьTLS-запрос с аутентификацией по специально созданному сертификату, что и привело бы к переполнению буфера.
В новой версии 3.0.7 также устранили баги предыдущих версий библиотек - с 3.0.0 по 3.0.6. Отмечается, что популярные версии OpenSSL 1.x в порядке и не имеют уязвимостей.
