問(wèn)題描述

引用報(bào)告：（OpenSSL3.x曝出嚴(yán)重漏洞 ： https://www.ctocio.com/ccnews/37529.html ）

image.png

最近OpenSSL 3.x 爆出了嚴(yán)重安全漏洞，分別是 CVE-2022-3602 和 CVE-2022-3786.

| CVE-2022-3602 |

緩沖區(qū)溢出可以在 X.509 證書(shū)驗(yàn)證中觸發(fā)，特別是在名稱(chēng)約束檢查中。

請(qǐng)注意，這發(fā)生在證書(shū)鏈簽名驗(yàn)證之后，并且要求 CA 已對(duì)惡意證書(shū)進(jìn)行簽名，或者要求應(yīng)用程序繼續(xù)證書(shū)驗(yàn)證，盡管無(wú)法構(gòu)造指向受信任頒發(fā)者的路徑。
攻擊者可以手工創(chuàng)建惡意電子郵件地址，使堆棧上四個(gè)攻擊者控制的字節(jié)溢出。此緩沖區(qū)溢出可能導(dǎo)致崩潰（導(dǎo)致拒絕服務(wù)）或可能遠(yuǎn)程執(zhí)行代碼。許多平臺(tái)都實(shí)現(xiàn)了堆棧溢出保護(hù)，以降低遠(yuǎn)程代碼執(zhí)行的風(fēng)險(xiǎn)。根據(jù)任何給定平臺(tái)/編譯器的堆棧布局，可以進(jìn)一步降低風(fēng)險(xiǎn)。

CVE-2022-3602 的預(yù)公告將此問(wèn)題描述為“嚴(yán)重”?；谏鲜鲆恍┚徑庖蛩氐倪M(jìn)一步分析導(dǎo)致其降級(jí)為HIGH。我們?nèi)怨膭?lì)用戶盡快升級(jí)到新版本。

在 TLS 客戶端中，可以通過(guò)連接到惡意服務(wù)器來(lái)觸發(fā)此操作。

在 TLS 服務(wù)器中，如果服務(wù)器請(qǐng)求客戶端身份驗(yàn)證并且惡意客戶端連接，則可以觸發(fā)此操作。

在 OpenSSL 3.0.7 中修復(fù)（受影響的 3.0.0、3.0.1、3.0.2、3.0.3、3.0.4、3.0.5、3.0.6）。

A buffer overrun can be triggered in X.509 certificate verification, specifically in name constraint checking.

Note that this occurs after certificate chain signature verification and requires either a CA to have signed the malicious certificate or for the application to continue certificate verification despite failure to construct a path to a trusted issuer.
An attacker can craft a malicious email address to overflow four attacker-controlled bytes on the stack. This buffer overflow could result in a crash (causing a denial of service) or potentially remote code execution. Many platforms implement stack overflow protections which would mitigate against the risk of remote code execution. The risk may be further mitigated based on stack layout for any given platform/compiler.

Pre-announcements of CVE-2022-3602 described this issue as CRITICAL. Further analysis based on some of the mitigating factors described above have led this to be downgraded to HIGH. Users are still encouraged to upgrade to a new version as soon as possible.

In a TLS client, this can be triggered by connecting to a malicious server.

In a TLS server, this can be triggered if the server requests client authentication and a malicious client connects.

Fixed in OpenSSL 3.0.7 (Affected 3.0.0,3.0.1,3.0.2,3.0.3,3.0.4,3.0.5,3.0.6).

|
| CVE-2022-3786 |

緩沖區(qū)溢出可以在 X.509 證書(shū)驗(yàn)證中觸發(fā)，特別是在名稱(chēng)約束檢查中。
請(qǐng)注意，這發(fā)生在證書(shū)鏈簽名驗(yàn)證之后，并且要求 CA 已簽署惡意證書(shū)或應(yīng)用程序繼續(xù)證書(shū)驗(yàn)證，盡管無(wú)法構(gòu)造到受信任頒發(fā)者的路徑。
攻擊者可以在證書(shū)中構(gòu)建惡意電子郵件地址，以溢出堆棧上包含“.”字符（十進(jìn)制 46）的任意數(shù)量的字節(jié)。此緩沖區(qū)溢出可能導(dǎo)致崩潰（導(dǎo)致拒絕服務(wù)）。

在 TLS 客戶端中，可以通過(guò)連接到惡意服務(wù)器來(lái)觸發(fā)此操作。

在 TLS 服務(wù)器中，如果服務(wù)器請(qǐng)求客戶端身份驗(yàn)證并且惡意客戶端連接，則可以觸發(fā)此操作。

A buffer overrun can be triggered in X.509 certificate verification, specifically in name constraint checking.
Note that this occurs after certificate chain signature verification and requires either a CA to have signed a malicious certificate or for an application to continue certificate verification despite failure to construct a path to a trusted issuer.

An attacker can craft a malicious email address in a certificate to overflow an arbitrary number of bytes containing the `.' character (decimal 46) on the stack. This buffer overflow could result in a crash (causing a denial of service).

In a TLS client, this can be triggered by connecting to a malicious server.

In a TLS server, this can be triggered if the server requests client authentication and a malicious client connects.

|

OpenSSL 3.0.7 在2022-11-01發(fā)布，并將修復(fù)以上兩個(gè)嚴(yán)重漏洞。 那么，微軟云如何來(lái)處理 OpenSSL 的漏洞事件呢？

問(wèn)題解答

首先微軟的 MSRC團(tuán)隊(duì)會(huì)隨時(shí)關(guān)注網(wǎng)絡(luò)世界的最新安全信息 ( Microsoft Security Response Center)， 并且及時(shí)發(fā)布最新的公告：

image.png

針對(duì) CVE-2022-3602 和 CVE-2022-3786 兩個(gè)嚴(yán)重的漏洞，微軟安全響應(yīng)中心(MSRC)公布了對(duì)漏洞的更新：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-3602

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-3786

Awareness and guidance related to OpenSSL 3.0 – 3.0.6 risk (CVE-2022-3786 and CVE-2202-3602) / 與 OpenSSL 3.0 – 3.0.6 風(fēng)險(xiǎn)相關(guān)的意識(shí)和指南（CVE-2022-3786 和 CVE-2202-3602）:https://msrc-blog.microsoft.com/2022/11/02/microsoft-guidance-related-to-openssl-risk-cve-2022-3786-and-cve-2202-3602/

• Microsoft 已意識(shí)到并積極解決與 2022 年 10 月 25 日宣布的最新 OpenSSL 漏洞相關(guān)的影響，該漏洞已在 3.0.7 版中修復(fù)。作為標(biāo)準(zhǔn)流程的一部分，我們正在為受影響的服務(wù)推出修補(bǔ)程序。
• MSRC博客和我們相關(guān)的安全更新指南（CVE-2022-3786 安全更新指南和 CVE-2022-3602 安全更新指南）中將重點(diǎn)介紹所需的任何客戶操作。
• 作為最佳實(shí)踐，建議管理自己環(huán)境的客戶應(yīng)用來(lái)自 OpenSSL 的最新安全更新。強(qiáng)烈建議客戶查看安全更新指南，以查看他們可能需要采取的任何操作。
• == == == == == == == == == == == ==
• OpenSSL 版本 3.0.7 于 2022 年 11 月 1 日正式發(fā)布，OpenSSL 將 CVE-2022-3602 的嚴(yán)重等級(jí)從嚴(yán)重性降級(jí)為高嚴(yán)重性等級(jí)。
• OpenSSL 3.0.7 解決了兩個(gè)漏洞（CVE-2022-3786 和 CVE-2022-3602），這兩個(gè)漏洞對(duì)執(zhí)行證書(shū)驗(yàn)證的系統(tǒng)有拒絕服務(wù)影響。
• 攻擊者可能將惡意制作的證書(shū)發(fā)送到客戶端或服務(wù)器，該客戶端或服務(wù)器在身份驗(yàn)證過(guò)程中分析證書(shū)，從而導(dǎo)致崩潰。
• 目前，該漏洞似乎不能可靠地允許遠(yuǎn)程執(zhí)行代碼，并且不知道是否受到攻擊。

微軟云對(duì)于重大的安全漏洞，會(huì)立即采取安全更新：https://docs.azure.cn/zh-cn/app-service/overview-patch-os-runtime#how-does-azure-deal-with-significant-vulnerabilities

image.png

最后，如果想知道自己的Azure服務(wù)是否收到OpenSSL 3.x 漏洞影響。如App Service 可以在Kudu站點(diǎn)中通過(guò) ***openssl version ***來(lái)查看版本信息：

image.png

*** PS:** 如上圖查看Azure App Service使用的Version為 1.x，不在這次受影響的Version中。*

參考文檔

第二滴血？OpenSSL3.x曝出嚴(yán)重漏洞： https://www.ctocio.com/ccnews/37529.html

Azure 如何處理重大漏洞？https://docs.azure.cn/zh-cn/app-service/overview-patch-os-runtime#how-does-azure-deal-with-significant-vulnerabilities

Awareness and guidance related to OpenSSL 3.0 – 3.0.6 risk (CVE-2022-3786 and CVE-2202-3602) ： https://msrc-blog.microsoft.com/2022/11/02/microsoft-guidance-related-to-openssl-risk-cve-2022-3786-and-cve-2202-3602/
OpenSSL: CVE-2022-3602 X.509 certificate verification buffer overrun ： https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-3602

OpenSSL: CVE-2022-3786 X.509 certificate verification buffer overrun ： https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-3786

當(dāng)在復(fù)雜的環(huán)境中面臨問(wèn)題，格物之道需：濁而靜之徐清，安以動(dòng)之徐生。 云中，恰是如此!

分類(lèi): 【Azure 環(huán)境】

標(biāo)簽: App Service, Azure 環(huán)境, openssl version, CVE-2022-3602 和 CVE-2022-3786