OpenSSL Versionen von 3.x bis 3.0.6 (früher als 3.0.7) sind anfällig für eine schwerwiegende Sicherheitslücke, die zu einem Absturz oder unerwartetem Verhalten führen kann.

OpenSSL hat ein Advisory veröffentlicht, das unter https://www.openssl.org/news/secadv/20221101.txt zu finden ist.

Supermicro Firmware- und Software-Produkte sind weder von CVE-2022-3786 noch von CVE-2022-3602 betroffen, da Supermicro die OpenSSL-Versionen 1.0.x - 1.1.1 verwenden.

Weitere Informationen:

Ein Angreifer kann eine bösartige E-Mail-Adresse so gestalten, dass eine beliebige Anzahl von Bytes, die das Zeichen `.` (dezimal 46) enthalten, auf dem Stack überläuft. Dieser Pufferüberlauf könnte zu einem Absturz führen (was eine Dienstverweigerung zur Folge hätte).

Ein Pufferüberlauf kann bei der Überprüfung von X.509-Zertifikaten ausgelöst werden, insbesondere bei der Überprüfung von Namensbeschränkungen. Ein Angreifer kann eine bösartige E-Mail-Adresse so gestalten, dass vier vom Angreifer kontrollierte Bytes auf dem Stack überlaufen. Dieser Pufferüberlauf kann zu einem Absturz (und damit zu einer Dienstverweigerung) oder möglicherweise zu einer Remotecodeausführung führen.