- Lỗ hổng được công bố lần này liên quan đến tràn bộ đệm địa chỉ email X.509
- Có thể xảy ra khi chứng chỉ chứa địa chỉ email được mã hóa bằng Punycode đã được chế tác đặc biệt để kích hoạt tràn bộ đệm
- Khi mới được công bố, mức độ được xếp là Critical, nhưng đến ngày 1 tháng 11 đã được hạ xuống High
- Đã xác nhận rằng đây gần với lỗ hổng DoS (từ chối dịch vụ) hơn là RCE (Remote Command Execution, thực thi từ xa), nên mức độ rủi ro đã được điều chỉnh
3 bình luận
Các dịch vụ AWS không bị ảnh hưởng và không cần khách hàng thực hiện bất kỳ hành động nào.
https://aws.amazon.com/security/security-bulletins/AWS-2022-008/
Cảm ơn vì phần tóm tắt!
Ở dòng thứ 4, chữ viết tắt cho thực thi từ xa là RCE, nhưng đang bị gõ nhầm thành REC.
Bản phát hành OpenSSL 3.07 đã vá CVE-2022-3786 / CVE-2022-3602