# OpenSSL 3.0 - CVE-2022-3602, CVE-2022-3786 취약점 및 조치 방안 정리

> Clean Markdown view of GeekNews topic #7718. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=7718](https://news.hada.io/topic?id=7718)
- GeekNews Markdown: [https://news.hada.io/topic/7718.md](https://news.hada.io/topic/7718.md)
- Type: news
- Author: [regentag](https://news.hada.io/@regentag)
- Published: 2022-11-02T16:17:45+09:00
- Updated: 2022-11-02T16:17:45+09:00
- Original source: [asecurity.dev](https://asecurity.dev/m/entry/OpenSSL-30-CVE-2022-3602-CVE-2022-3786-취약점-및-조치-방안-정리)
- Points: 8
- Comments: 3

## Topic Body

- 이번에 발표된 취약점은 X.509 Email Address Buffer Overflow 와 관련됨  
- 인증서에 버퍼 오버플로우을 트리거하도록 설계된 특수하게 조작된 퓨니코드(Punycode)로 인코딩된 이메일 주소가 포함되어 있을 때 발생할 수 있음  
- 처음 발표되었을 때에는 Critical 로 발표되었으나, 11월 1일 High로 낮춰짐  
  * RCE(Remote Command Execution, 원격 실행)보다는 DoS(서비스 거부) 취약점에 가까운 것으로 확인되어 위험도 조정됨

## Comments



### Comment 13017

- Author: richardk
- Created: 2022-11-03T14:47:22+09:00
- Points: 1

AWS services are not affected, and no customer action is required.  
  
https://aws.amazon.com/security/security-bulletins/AWS-2022-008/

### Comment 13003

- Author: alus20x
- Created: 2022-11-02T18:26:26+09:00
- Points: 1

요약 감사합니다!  
4번째 줄 중, 원격 실행에 대한 약자가 RCE인데, REC로 오타가 들어있네요

### Comment 13001

- Author: regentag
- Created: 2022-11-02T16:18:42+09:00
- Points: 1

[	OpenSSL, CVE-2022-3786 / CVE-2022-3602 패치한 3.07 릴리즈](https://news.hada.io/topic?id=7714)