2022年11月1日,OpenSSL发布了3.0.7版,以修复OpenSSL 3.0.x加密库中的两个高危漏洞:CVE-2022-3602和CVE-2022-3786。Cloudflare不受这些漏洞的影响,因为我们的产品使用BoringSSL。
这些漏洞是内存损坏问题,可被攻击者利用在受害者的机器中执行任意代码。CVE-2022-3602最初宣布时被定为严重级别,但后来被降为高级别,因为这个漏洞被认为难以通过远程代码执行(RCE)利用。与之前OpenSSL用户几乎普遍受到攻击的情况不同,使用其他版本OpenSSL的软件(例如1.1.1)的软件不易受到这种攻击。
这些问题如何影响客户端和服务器?
这些漏洞存在于负责X.509证书验证的代码中——大多在客户端执行,用于验证服务器和提供的证书。要受到这些漏洞的影响,受害者(客户端或服务器)需要满足以下几个条件:
·恶意证书需要由受害者信任的证书颁发机构(CA)签名。
·受害者需要验证恶意证书,或忽略来自浏览器的一系列警告。
·受害者需要运行3.0.7以前的OpenSSL 3.0.x版本。
客户端受到这个漏洞影响的条件是,访问一个恶意站点,且后者提供的证书包含利用漏洞的有效负载。此外,该恶意证书必须由受信任的证书颁发机构(CA)签名。
如果运行受影响版本OpenSSL的服务器支持双向验证(在此情况下,客户端和服务器均提供一个有效和签名的X.509证书,且客户端能向服务器提交一个带有利用负载的证书),则服务器可受到攻击。
应该如何处理这个问题?
如果你正在管理运行OpenSSL的服务,你应该给存在漏洞的OpenSSL包进行修补。在Linux系统上,可以使用lsof命令确定是否有进程动态加载OpenSSL。如下示例中,发现NGINX正在使用OpenSSL。
root@55f64f421576:/#lsof|grep libssl.so.3nginx 1294 root mem REG 254,1 925009/usr/lib/x86_64-linux-gnu/libssl.so.3(path dev=0,142)
一旦Linux发行版的包维护者发布OpenSSL 3.0.7,你就可以通过更新包源和升级libssl3包来进行修补。在Debian和Ubuntu上,这可以通过apt-get upgrade命令来完成
root@55f64f421576:/#apt-get–only-upgrade install libssl3
尽管如此,你有可能正在运行一个受影响版本的OpenSSL,但lsof命令无法发现,因为你的进程是静态编译的。必须对你负责的静态编译软件进行更新,并确保在未来几天内更新你的操作系统和其他安装的软件,其中可能包含易受攻击的OpenSSL版本。
关键要点
Cloudflare使用BoringSSL,因而确信在漏洞发布日期之前,该问题不会对我们造成影响。
更普遍而言,该漏洞提醒人们,内存安全仍然是一个重要问题。这个问题可能难以被利用,因为它需要一个恶意制作并由受信任CA签名的证书,而证书颁发机构很可能将开始验证其签名的证书不包含利用这些漏洞的有效负载。然而,鉴于问题的严重性,打补丁并将易受攻击的OpenSSL包升级到OpenSSL 3.0.7仍然很重要。
卖家如何申请修改评价? 如果对买家的评价不满意,或者有异议,可和买家协商,如买家同意,则可以点击‘申请修改’按钮,系统向买家发送修改邀请; 1.在卖家后台,卖家可以在”评价管理”页面,点击”申请修改”按钮申请修改评价,或者在订单的”详细信息”页面,点击”订单评…
码刀科技(www.lekshop.cn)是国内知名企业级电商平台提供商,为企业级商家提供最佳的电商平台搭建(多种模式电商平台搭建:B2B/B2B2C/B2C/O2O/新零售/跨境等)、平台管理系统开发及互联网采购解决方案服务, 联系客服了解更多.
