OpenSSL 發佈了 3.0.7 版,以修補 CVE-2022-3602 和 CVE-2022-3786,這是 OpenSSL 3.0.x 加密庫中的兩個 HIGH 級別風險漏洞。Cloudflare 不受這些漏洞的影響,因為我們在產品中使用了 BoringSSL。
這些漏洞是記憶體損壞問題,攻擊者可能能夠在受害者的電腦上執行任意代碼。CVE-2022-3602 最初被宣佈為 CRITICAL 嚴重性漏洞,但由於該漏洞被認為難以透過遠端程式碼執行 (RCE) 進行利用,因此已降級為 HIGH。與以前 OpenSSL 使用者幾乎普遍易受攻擊的情況不同,使用其他版本 OpenSSL(如 1.1.1)的軟體不容易受到此攻擊。
這些問題會對用戶端和伺服器產生怎樣的影響?
這些漏洞存在於負責 X.509 憑證驗證的程式碼中——通常在用戶端執行,以驗證伺服器和所提供的憑證。當受害者(用戶端或伺服器)滿足以下幾個條件時,會受到此漏洞的影響:
-
惡意憑證需要由受害者信任的憑證頒發機構簽名。
-
受害者需要驗證惡意憑證或忽略來自瀏覽器的一系列警告。
-
受害者需要執行低於 3.0.7 的 OpenSSL 3.0.x 版本。
要使用戶端受到此漏洞的影響,他們必須造訪提供包含漏洞利用有效負載的憑證的惡意網站。此外,此惡意憑證必須由受信任的憑證頒發機構 (CA) 簽名。
如果具有易受攻擊的 OpenSSL 版本的伺服器支援相互驗證——在這種情況下,用戶端和伺服器都提供有效且已簽名的 X.509 憑證,且用戶端能夠向伺服器提供具有漏洞利用有效負載的憑證。
您應該如何處理此問題?
如果您正在管理執行 OpenSSL 的服務:您應該修補易受攻擊的 OpenSSL 封裝。在 Linux 系統上,您可以確定是否有任何處理序使用 lsof 命令動態載入 OpenSSL。下面是一個查找 NGINX 使用的 OpenSSL 的範例。
完整閱讀全文https://blog.cloudflare.com/zh-tw/cloudflare-is-not-affected-by-the-open...
熱門新聞
2024-10-24
2024-10-22
2024-10-23
2024-09-27