2022 年 10 月 25 日，OpenSSL 发表公告 ，将在 11 月 1 号发布新版本 3.0.7。

这个公告立刻引发了业界的重点关注，因为在简短的公告中有这么一句话: 

“OpenSSL 3.0.7 is a security-fix release. The highest severity issue fixed in this release is CRITICAL”

即“OpenSSL 3.0.7 是一个安全修复版本。此版本中修复的最严重问题是 CRITICAL（最高等级）”!

有人注意到了，这是自 2016 年以来，OpenSSL 第一次修复 CRITICAL 等级的漏洞。

这一下子把业界拉回到了心脏滴血漏洞的时代。

鉴于 OpenSSL 的广泛影响，公告发布后一周内，各种谣言、揣测喧嚣尘上。

互联网上充满了又一场安全灾难即将到来的气氛，不知道多少运维人员因此调整了万圣节休假计划。

靴子最终落地了。

OpenSSL 3.0.7 在 11 月 1 号如期发布 ，并公开了修复的两个漏洞细节：CVE-2022-3602 和 CVE-2022-3786。

CVE-2022-3602，被标识为 High 等级（从最初判定的 CRITICAL 降级而来），是一个典型的“off by one”漏洞，导致栈上溢出写可控的 4 字节。

CVE-2022-3786，被标识为 High 等级，是一个栈溢出漏洞，导致攻击者可以在栈上溢出写任意多个“.”字符。

这两个漏洞到底有什么危害呢？

业界很多攻击研究团队都有独立的研究分析。

简单来说，截至目前，结论是这两个漏洞都不大可能转化为有效利用。

其中，最初被判定为 CRITICAL 的 CVE-2022-3602，甚至在很多情况下都不会触发崩溃。

一方面，OpenSSL 的编译选项中开启了栈 cookie 保护；另一方面，在有些编译器优化导致的栈对齐和栈布局策略下，这个 4 字节的溢出并不会真正破坏程序执行状态。

至于 CVE-2022-3786，由于无法控制溢出内容，只能用固定的“.”字符破坏栈，也被认为无法再次转化利用。

直到新版本发布，这两个漏洞的有效利用代码都没有出现，也没有发现这两个漏洞存在任何在野利用案例。

因此，在 11 月 1 日的公告中，OpenSSL 自己也改口，将最初判定为 CRITICAL 的 CVE-2022-3602 降级到 “High（高危）”。

从最初公告的“惊心动魄”到新版本发布之后的“静静悄悄”，OpenSSL 这次的安全修复属实是高高举起又轻轻放下，上演了漏洞修复版的“狼来了”。

想象一下，下一次 OpenSSL 再发布“CRITICAL”漏洞公告，还会有人紧张吗？

参  考：

[1] https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html

[2] https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

[3] https://securitylabs.datadoghq.com/articles/openssl-november-1-vulnerabilities/#notes-on-exploitability-leading-to-rce

[4] https://www.trellix.com/en-us/about/newsroom/stories/research/openssl-3-0-vulnerabilities.html

[5] https://www.openssl.org/news/secadv/20221101.txt

下篇预告

与客户端系统漏洞相比，

云端漏洞无论挖掘还是修复，

都更加秘而不宣。

我们更容易着手研究和公开看到的，

多数都属硬核级别。

下面一篇，可能会给云端研究员带来一些新的提示。

扫码进 DarkNavy 官方交流群
你的洞见  群里见