- Die diesmal veröffentlichten Schwachstellen stehen im Zusammenhang mit einem X.509 Email Address Buffer Overflow
- Sie können auftreten, wenn ein Zertifikat eine speziell manipulierte, in Punycode codierte E-Mail-Adresse enthält, die darauf ausgelegt ist, einen Buffer Overflow auszulösen
- Bei der ersten Bekanntgabe wurden sie als Critical eingestuft, am 1. November jedoch auf High herabgesetzt
- Es wurde bestätigt, dass es sich eher um eine DoS-Schwachstelle (Denial of Service) als um RCE (Remote Command Execution) handelt, weshalb die Risikoeinstufung angepasst wurde
3 Kommentare
AWS-Services sind nicht betroffen, und es sind keine Maßnahmen durch Kund:innen erforderlich.
https://aws.amazon.com/security/security-bulletins/AWS-2022-008/
Danke für die Zusammenfassung!
In der 4. Zeile ist die Abkürzung für Remotecodeausführung RCE, da hat sich ein Tippfehler eingeschlichen: REC.
OpenSSL, Veröffentlichung von 3.07 mit Patch für CVE-2022-3786 / CVE-2022-3602