Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
OpenSSL
(3.0.0, 3.0.7)
Описание
Переполнение буфера может быть спровоцировано при проверке сертификатов X.509, в частности, при проверке ограничений на имена. Обратите внимание, что это происходит после проверки подписи цепочки сертификатов и требует либо того, чтобы ЦС подписал вредоносный сертификат, либо того, чтобы приложение продолжило проверку сертификата, несмотря на невозможность построить путь к доверенному эмитенту. Злоумышленник может использовать вредоносный адрес электронной почты в сертификате для переполнения стека произвольным количеством байт, содержащих символ `.' (десятичное число 46). Такое переполнение буфера может привести к аварийному завершению работы (вызвать отказ в обслуживании). На TLS-клиенте это может быть вызвано подключением к вредоносному серверу. На TLS-сервере это может произойти, если сервер запросит аутентификацию клиента и к нему подключится вредоносный клиент.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://www.openssl.org/
https://www.openssl.org/
Ссылки
Источник: CVE
Наименование: CVE-2022-3786
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3786
https://www.openssl.org/news/secadv/20221101.txt
Наименование: CVE-2022-3786
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3786
https://www.openssl.org/news/secadv/20221101.txt