今天公开了两个影响OpenSSL的高严重度安全漏洞，这也是导致Fedora 37被推迟到11月中旬的问题，以便让发布的镜像文件中包含缓解问题的OpenSSL包。今天公开的OpenSSL漏洞是一个X.509电子邮件地址4字节缓冲区溢出漏洞(CVE-2022-3602)和一个X.509电子邮件地址可变长度缓冲区溢出漏洞(CVE-2022-3786)。

这两个漏洞都与X.509证书验证中的缓冲区溢出有关。CVE-2022-3602是最初被认为是危险等级达到"危急"的漏洞，也是导致Fedora 37被推迟的原因。

然而，经过进一步分析，他们决定将其降级为"高度"严重性。

之前的OpenSSL 3.0.7版本受到这些漏洞的影响，但不包括旧的OpenSSL 1.x版本。

关于这些OpenSSL安全漏洞的更多细节请参见OpenSSL.org：

https://www.openssl.org/news/secadv/20221101.txt

面向OpenSSL 3.0.7版本已经有了修复措施：

https://www.openssl.org/news/openssl-3.0-notes.html