订阅以接收新文章的通知:

Cloudflare 不受 OpenSSL 漏洞 CVE-2022-3602 和CVE-2022-3786 影响

2022-11-02

2 分钟阅读时间
这篇博文也有 English繁體中文版本。

昨天(2022 年 11 月 1 日),OpenSSL 发布了 3.0.7 版,以修复 OpenSSL 3.0.x 加密库中的两个高危漏洞: CVE-2022-3602 和 CVE-2022-3786。 Cloudflare 不受这些漏洞的影响,因为我们的产品使用 BoringSSL

Cloudflare is not affected by the OpenSSL vulnerabilities CVE-2022-3602 and CVE-2022-37

这些漏洞是内存损坏问题,可被攻击者利用在受害者的机器中执行任意代码。CVE-2022-3602 最初宣布时被定为严重级别,但后来被降为高级别,因为这个漏洞被认为难以通过远程代码执行(RCE)利用。与之前 OpenSSL 用户几乎普遍受到攻击的情况不同,使用其他版本 OpenSSL 的软件(例如 1.1.1)的软件不易受到这种攻击。

这些问题如何影响客户端和服务器?

这些漏洞存在于负责 X.509 证书验证的代码中 —— 大多在客户端执行,用于验证服务器和提供的证书。要受到这些漏洞的影响,受害者(客户端或服务器)需要满足以下几个条件:

  • 恶意证书需要由受害者信任的证书颁发机构(CA)签名。

  • 受害者需要验证恶意证书,或忽略来自浏览器的一系列警告。

  • 受害者需要运行 3.0.7 以前的OpenSSL 3.0.x 版本。

客户端受到这个漏洞影响的条件是,访问一个恶意站点,且后者提供的证书包含利用漏洞的有效负载。此外,该恶意证书必须由受信任的证书颁发机构(CA)签名。

如果运行受影响版本 OpenSSL 的服务器支持双向验证(在此情况下,客户端和服务器均提供一个有效和签名的 X.509 证书,且客户端能向服务器提交一个带有利用负载的证书),则服务器可受到攻击。

应该如何处理这个问题?

如果你正在管理运行 OpenSSL 的服务,你应该给存在漏洞的 OpenSSL 包进行修补。在 Linux 系统上,可以使用 lsof 命令确定是否有进程动态加载 OpenSSL。如下示例中,发现 NGINX 正在使用 OpenSSL。

一旦 Linux 发行版的包维护者发布 OpenSSL 3.0.7,你就可以通过更新包源和升级 libssl3 包来进行修补。在 Debian 和 Ubuntu 上,这可以通过 apt-get upgrade 命令来完成

root@55f64f421576:/# lsof | grep libssl.so.3
nginx   1294     root  mem       REG              254,1           925009 /usr/lib/x86_64-linux-gnu/libssl.so.3 (path dev=0,142)

尽管如此,你有可能正在运行一个受影响版本的 OpenSSL,但 lsof 命令无法发现,因为你的进程是静态编译的。必须对你负责的静态编译软件进行更新,并确保在未来几天内更新你的操作系统和其他安装的软件,其中可能包含易受攻击的 OpenSSL 版本。

root@55f64f421576:/# apt-get --only-upgrade install libssl3

关键要点

Cloudflare 使用 BoringSSL,因而确信在漏洞发布日期之前,该问题不会对我们造成影响。

更普遍而言,该漏洞提醒人们,内存安全仍然是一个重要问题。这个问题可能难以被利用,因为它需要一个恶意制作并由受信任 CA 签名的证书,而证书颁发机构很可能将开始验证其签名的证书不包含利用这些漏洞的有效负载。然而,鉴于问题的严重性,打补丁并将易受攻击的 OpenSSL 包升级到 OpenSSL 3.0.7 仍然很重要。

若要进一步了解我们帮助构建更美好互联网的使命,请从此处开始。如果您正在寻找新的职业方向,请查看我们的空缺职位

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
安全性Vulnerabilities

在 X 上关注

Michal Melewski|@carste1n
Cloudflare|@cloudflare

相关帖子

2024年10月02日 13:00

How Cloudflare auto-mitigated world record 3.8 Tbps DDoS attack

Over the past couple of weeks, Cloudflare's DDoS protection systems have automatically and successfully mitigated multiple hyper-volumetric L3/4 DDoS attacks exceeding 3 billion packets per second (Bpps). Our systems also automatically mitigated multiple attacks exceeding 3 terabits per second (Tbps), with the largest ones exceeding 3.65 Tbps. The scale of these attacks is unprecedented....

2024年9月27日 13:00

AI Everywhere with the WAF Rule Builder Assistant, Cloudflare Radar AI Insights, and updated AI bot protection

This year for Cloudflare’s birthday, we’ve extended our AI Assistant capabilities to help you build new WAF rules, added new AI bot & crawler traffic insights to Radar, and given customers new AI bot blocking capabilities...

2024年9月27日 13:00

Advancing cybersecurity: Cloudflare implements a new bug bounty VIP program as part of CISA Pledge commitment

Cloudflare strengthens its commitment to cybersecurity by joining CISA's "Secure by Design" pledge. In line with this commitment, we're enhancing our vulnerability disclosure policy by launching a VIP bug bounty program, giving top researchers early access to our products. Keep an eye out for future updates regarding Cloudflare's CISA pledge as we work together to shape a safer digital future....