Dua kerentanan keamanan tingkat tinggi yang memengaruhi OpenSSL telah dibuat publik hari ini, yang merupakan masalah yang menyebabkan Fedora 37 ditunda hingga pertengahan November untuk memungkinkan gambar rilis telah mengurangi paket OpenSSL.
Kerentanan OpenSSL yang dipublikasikan hari ini adalah X.509 alamat email 4-byte buffer overflow (CVE-2022-3602) dan X.509 alamat email variabel panjang buffer overflow (CVE-2022-3786).
Kedua kerentanan berkaitan dengan buffer overruns dalam verifikasi sertifikat X.509. CVE-2022-3602 adalah kerentanan awalnya dianggap”kritis”dan apa yang menyebabkan Fedora 37 tertunda dan sejenisnya. Namun, pada analisis lebih lanjut mereka memutuskan untuk menurunkannya ke tingkat keparahan”tinggi”.
OpenSSL 3.0.x sebelum OpenSSL 3.0.7 dipengaruhi oleh kerentanan ini tetapi tidak pada rilis OpenSSL 1.x yang lebih lama.
Detail selengkapnya tentang kerentanan keamanan OpenSSL ini melalui OpenSSL.org. OpenSSL 3.0.7 tersedia dengan perbaikan.