Duas vulnerabilidades de segurança de alta gravidade que afetam o OpenSSL foram criadas public hoje, que foram os problemas que levaram o Fedora 37 a ser adiado para meados de novembro para permitir que as imagens de lançamento mitigassem os pacotes OpenSSL.
As vulnerabilidades do OpenSSL divulgadas hoje são um buffer overflow de 4 bytes de endereço de e-mail X.509 (CVE-2022-3602) e um buffer overflow de comprimento variável de endereço de e-mail X.509 (CVE-2022-3786).
Ambas as vulnerabilidades estão relacionadas a estouros de buffer na verificação do certificado X.509. CVE-2022-3602 é a vulnerabilidade originalmente considerada”crítica”e o que levou ao atraso do Fedora 37 e similares. No entanto, em uma análise mais aprofundada, eles decidiram rebaixar para gravidade”alta”.
O OpenSSL 3.0.x anterior ao OpenSSL 3.0.7 é afetado por essas vulnerabilidades, mas não as versões mais antigas do OpenSSL 1.x.
Mais detalhes sobre essas vulnerabilidades de segurança do OpenSSL em OpenSSL.org. O OpenSSL 3.0.7 está disponível com as correções.
