据外媒报道，OpenSSL在其用于加密通信和HTTPS连接的开源密码库中修补了两个严重程度较高的安全漏洞。

CVE-2022-3602由处理Polar Bear的安全研究人员发现，并于10月17日报告给OpenSSL团队。

之后又发现了第二个漏洞：CVE-2022-3786。

其中CVE-2022-3602是任意4字节堆栈缓冲区溢出，可能触发崩溃或导致远程代码执行(RCE)的漏洞。

而CVE-2022-3786被攻击者用来通过恶意电子邮件地址触发拒绝服务状态，之后通过缓冲区溢出。

据了解，在TLS客户端中，可以通过连接恶意服务器来触发这两个漏洞。

此外，如果服务器请求客户端身份验证或者恶意客户端连接，同样可以触发此操作。

但幸运的是，缓冲区溢出仅在证书链签名验证后触发，并且要求CA签署恶意证书或应用程序继续进行证书验证时才会启用，并不会威胁到用户使用的路径。

在计算机网络上，OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。

OpenSSL整个软件包大概可以分成三个主要的功能部分：SSL协议库、应用程序以及密码算法库。

作为一个基于密码学的安全开发包，OpenSSL提供的功能相当强大和全面，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，并提供了丰富的应用程序供测试或其它目的使用。

其实，这并不是OpenSSL第一次出现漏洞问题。

2014年4月8日，OpenSSL的大漏洞曝光。

这个漏洞被曝光的黑客命名为“heartbleed”，意思是“心脏流血”——代表着最致命的内伤。

利用该漏洞，黑客坐在自己家里电脑前，就可以实时获取到约30%https开头网址的用户登录账号密码，包括大批网银、购物网站、电子邮件等。

据相关媒体的报道，OpenSSL漏洞遍及全球互联网公司，中国超过3万台主机受波及，国内网站和安全厂商技术人员为检查、抢修彻夜未眠。

随着网络的逐渐普及，网站攻击也随之增多，漏洞数量更是以每个月几千的数量疯狂增长，网站被攻击问题也频繁发生。

因此，云WAF的应用就显得极为重要，他的出现解决了传统防火墙无法解决的针对应用层的攻击问题。

云WAF部署在web应用程序前面，通过检查HTTP流量，可以防止源自web应用程序的安全漏洞（如SQL注入，跨站脚本攻击，文件包含和安全配置错误）的攻击。

云WAF会对HTTP的请求进行异常检测，拒绝不符合HTTP标准的请求，从而减少攻击的影响范围。

云WAF增强了输入验证，可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为，减少Web服务器被攻击的可能。

云WAF可以对用户访问行为进行监测，为Web应用提供基于各类安全规则与异常事件的保护。

云WAF还有一些安全增强的功能，用以解决WEB程序员过分信任输入数据带来的问题，如隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护等。

（图源网络，侵删）