訂閱以接收新文章的通知:

Cloudflare 不受 OpenSSL 漏洞 CVE-2022-3602 和 CVE-2022-3786 的影響

2022-11-02

閱讀時間:2 分鐘
本貼文還提供以下語言版本:English简体中文

昨天,2022 年 11 月 1 日,OpenSSL 發佈了 3.0.7 版,以修補 CVE-2022-3602 和 CVE-2022-3786,這是 OpenSSL 3.0.x 加密庫中的兩個 HIGH 級別風險漏洞。Cloudflare 不受這些漏洞的影響,因為我們在產品中使用了 BoringSSL

Cloudflare is not affected by the OpenSSL vulnerabilities CVE-2022-3602 and CVE-2022-37

這些漏洞是記憶體損壞問題,攻擊者可能能夠在受害者的電腦上執行任意代碼。CVE-2022-3602 最初被宣佈為 CRITICAL 嚴重性漏洞,但由於該漏洞被認為難以透過遠端程式碼執行 (RCE) 進行利用,因此已降級為 HIGH。與以前 OpenSSL 使用者幾乎普遍易受攻擊的情況不同,使用其他版本 OpenSSL(如 1.1.1)的軟體不容易受到此攻擊。

這些問題會對用戶端和伺服器產生怎樣的影響?

這些漏洞存在於負責 X.509 憑證驗證的程式碼中——通常在用戶端執行,以驗證伺服器和所提供的憑證。當受害者(用戶端或伺服器)滿足以下幾個條件時,會受到此漏洞的影響:

  • 惡意憑證需要由受害者信任的憑證頒發機構簽名。

  • 受害者需要驗證惡意憑證或忽略來自瀏覽器的一系列警告。

  • 受害者需要執行低於 3.0.7 的 OpenSSL 3.0.x 版本。

要使用戶端受到此漏洞的影響,他們必須造訪提供包含漏洞利用有效負載的憑證的惡意網站。此外,此惡意憑證必須由受信任的憑證頒發機構 (CA) 簽名。

如果具有易受攻擊的 OpenSSL 版本的伺服器支援相互驗證——在這種情況下,用戶端和伺服器都提供有效且已簽名的 X.509 憑證,且用戶端能夠向伺服器提供具有漏洞利用有效負載的憑證。

您應該如何處理此問題?

如果您正在管理執行 OpenSSL 的服務:您應該修補易受攻擊的 OpenSSL 封裝。在 Linux 系統上,您可以確定是否有任何處理序使用 lsof 命令動態載入 OpenSSL。下面是一個查找 NGINX 使用的 OpenSSL 的範例。

一旦您的 Linux 發行版的封裝維護者發佈了 OpenSSL 3.0.7,您就可以透過更新封裝來源和升級 libssl3 封裝來進行修補。在 Debian 和 Ubuntu 上,這可以透過 apt-get upgrade 命令來完成。

root@55f64f421576:/# lsof | grep libssl.so.3
nginx   1294     root  mem       REG              254,1           925009 /usr/lib/x86_64-linux-gnu/libssl.so.3 (path dev=0,142)

話雖如此,但您可能正在執行 lsof 命令無法找到的易受攻擊的 OpenSSL 版本,因為您的處理序是靜態編譯的。務必要更新您負責維護的靜態編譯軟體,並確保在未來幾天內更新您的作業系統和其他可能包含易受攻擊的 OpenSSL 版本的已安裝軟體,這一點非常重要。

root@55f64f421576:/# apt-get --only-upgrade install libssl3

重點

藉助 Cloudflare 使用的 BoringSSL,我們確信該問題不會在漏洞發布日期之前影響我們。

從更廣泛的意義來說,該漏洞提醒人們記憶體安全仍然是一個重要問題。此問題可能難以利用,因為它需要一個惡意製作的憑證並由受信任的 CA 簽名,並且憑證頒發者可能會開始驗證他們簽名的憑證是否不包含利用這些漏洞的有效負載。但是,鑒於問題的嚴重性,修補軟體並將易受攻擊的 OpenSSL 封裝升級到 OpenSSL 3.0.7 仍然很重要。

若要進一步瞭解我們協助打造更好的網際網路的使命,請從這裡開始。如果您正在尋找新的職業方向,請查看我們的職缺

我們保護整個企業網路,協助客戶有效地建置網際網路規模的應用程式,加速任何網站或網際網路應用程式抵禦 DDoS 攻擊,阻止駭客入侵,並且可以協助您實現 Zero Trust

從任何裝置造訪 1.1.1.1,即可開始使用我們的免費應用程式,讓您的網際網路更快速、更安全。

若要進一步瞭解我們協助打造更好的網際網路的使命,請從這裡開始。如果您正在尋找新的職業方向,請查看我們的職缺
安全性Vulnerabilities

在 X 上進行關注

Michal Melewski|@carste1n
Cloudflare|@cloudflare

相關貼文

2024年10月08日 下午1:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

2024年10月06日 下午11:00

Enhance your website's security with Cloudflare’s free security.txt generator

Introducing Cloudflare’s free security.txt generator, empowering all users to easily create and manage their security.txt files. This feature enhances vulnerability disclosure processes, aligns with industry standards, and is integrated into the dashboard for seamless access. Strengthen your website's security today!...

2024年10月02日 下午1:00

How Cloudflare auto-mitigated world record 3.8 Tbps DDoS attack

Over the past couple of weeks, Cloudflare's DDoS protection systems have automatically and successfully mitigated multiple hyper-volumetric L3/4 DDoS attacks exceeding 3 billion packets per second (Bpps). Our systems also automatically mitigated multiple attacks exceeding 3 terabits per second (Tbps), with the largest ones exceeding 3.65 Tbps. The scale of these attacks is unprecedented....