上周，加密和安全通信领域广泛应用的开源软件包OpenSSL曝出“严重”级别漏洞。直到11月1日，OpenSSL基金会终于发布OpenSSL 3.0.7版，并公布了已修补的两个高严重性漏洞细节。

据安全媒体《SecurityWeek》报道，这是自2016年以来，OpenSSL首个重大漏洞。受OpenSSL漏洞影响，原定于10月中旬发布的Fedora 37，也延迟至11月中旬发布。

漏洞细节公布后，腾讯安全迅速响应，目前腾讯云主机安全、Web应用防火墙已支持对OpenSSL溢出漏洞进行检测和防护。由于OpenSSL使用较为广泛，腾讯安全专家建议使用3.0.0-3.0.6版本的用户升级到最新的3.0.7版本。

一、漏洞概述

SSL是一种流行的加密技术，是Secure Socket Layer（安全套接层协议）的缩写，可以保护用户通过互联网传输的隐私信息，目前在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。

而OpenSSL则是用于安全通信的SSL和TLS协议的开源软件包，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，并可以提供丰富的应用程序供测试或其它的使用目的。目前，OpenSSL已融入多个操作系统和各种软件中。

据官方描述，此次OpenSSL曝出的两个漏洞CVE-2022-3786 和 CVE-2022-3602 均为 OpenSSL 中 X.509 证书验证时存在的缓冲区溢出漏洞。当证书包含特制的恶意电子邮件地址时，可触发缓冲区溢出，进而可导致拒绝服务 (DOS) 或者潜在的远程代码执行。

二、漏洞详情

CVE-2022-3602 ：

CVE-2022-3602 是 OpenSSL 中 X.509 证书验证的名称约束检查功能中的缓冲区溢出漏洞。当证书包含旨在触发缓冲区溢出的、特制的 punycode 编码电子邮件地址时，漏洞利用就可能发生。成功利用该漏洞可能导致拒绝服务 (DOS)等后果 。

值得一提的是，由于利用该漏洞也可能进行远程代码执行 (RCE) ，CVE-2022-3602 最初被定级为“严重”，且在各大公共平台、社区持续发酵。然而，在进行研判和预发布补丁的那一周中，OpenSSL官方发现大部分现代平台都会包含堆栈溢出保护机制，同时经验证在某些 Linux 发行版中由于堆栈布局的关系，RCE 和 DOS 都不可行。这就降低了该漏洞导致RCE的可能性。

综上所述，该漏洞在实际情况中导致 RCE 的风险其实低于漏洞曝光时人们所预想的，因此OpenSSL对该漏洞的定级也从“严重”变成了“高危”。

此外，要利用这个漏洞，攻击者需要说服证书颁发机构签署恶意证书，或者做到“在未能构建通向受信任颁发者的路径的情况下，让应用程序继续进行证书验证”。

CVE-2022-3786：

CVE-2022-3786 与 CVE-2022-3602 不同，它从一开始就没有被评为“严重”级别。因为在它的利用中攻击者只能控制长度，而不能控制覆盖的内容。因此，该漏洞在任何平台上都不会导致远程代码执行。另外，要利用这个漏洞，攻击者同样需要说服证书颁发机构签署恶意证书，或者做到“在未能构建通向受信任颁发者的路径的情况下，让应用程序继续进行证书验证”。

影响版本：

OpenSSL 表示，CVE-2022-3602、CVE-2022-3786是在 OpenSSL 3.0.0 添加其 punycode 解码功能后引入的，该功能用于“处理 X.509 证书中的电子邮件地址名称约束”。因此，此漏洞仅影响 OpenSSL 3.0.0 到 OpenSSL 3.0.6。

三、漏洞官方修复建议

将OpenSSL升级至安全版本：安装了OpenSSL 3.0.0 - 3.0.6的用户受到该漏洞影响，建议尽快升级到 3.0.7 版本。

获取链接：https://www.openssl.org/source/openssl-3.0.7.tar.gz

四、使用云原生安全产品漏洞防御指南

目前，腾讯云主机安全、Web应用防火墙已支持对OpenSSL溢出漏洞进行检测和防护。

1、开启“三道防线防护”

腾讯云原生安全产品将向符合条件且未试用过产品的企业用户限时开放 7 天免费试用，领取试用后通过简单的几个步骤即可完成防护接入。

为了完成对漏洞的检测、防护、修复，建议开启云防火墙、Web应用防火墙、主机安全三款产品的试用。

（1）一键领取试用（已购客户可跳过）

https://console.cloud.tencent.com/cfw/ptcenter

1. 打开【漏洞管理】->应急漏洞，对“应急漏洞-OpenSSL溢出漏洞”进行扫描检测

1. 查看扫描到的漏洞风险项目；
2. 确认资产存在漏洞风险；
3. 升级到安全版本；
4. 回到主机安全（云镜）控制台再次打开【漏洞管理】，重新检测确保资产不受漏洞影响。

（2）容器镜像：使用腾讯容器安全服务（TCSS）检测容器镜像漏洞

登录腾讯容器安全服务控制台，进入【漏洞管理】页面，对本地镜像和仓库镜像进行排查。步骤细节如下：

1. 容器安全服务控制台：打开【漏洞管理】->应急漏洞点击“一键检测”或“检测应急漏洞”；

2）如镜像尚未授权可以点击批量授权，自选镜像授权扫描；

3）扫描完毕，单击详情确认资产存在漏洞风险；

4）升级到安全版本；

5）回到容器安全服务控制台再次打开【漏洞管理】，重新检测确保资产不受漏洞影响。

3、漏洞防御

（1）使用腾讯T-Sec Web应用防火墙（WAF）防御漏洞攻击

腾讯安全Web应用防火墙已支持防护OpenSSL溢出漏洞，已接入WAF的域名可以通过WAF实现针对漏洞利用流量的清洗，细节如下：

1）确认业务是否已经接入Web应用防火墙（以下简称WAF）：

• 业务在腾讯云外，领用SaaS-WAF（需做域名调度）

详细接入指引：https://cloud.tencent.com/document/product/627/18631

• 业务在腾讯云内且有七层CLB，领用CLB-WAF（无需业务变动）

详细接入指引：https://cloud.tencent.com/document/product/627/40765

2）登录腾讯T-Sec Web应用防火墙控制台，依次打开左侧【资产中心-域名列表】，添加域名并开启防护即可。步骤细节如下：

• Web应用防火墙控制台：【资产中心—域名列表】，点击【添加域名】。

• SaaS-WAF 域名接入：输入域名，配置端口，源站地址或者域名，点击确定即可。新增域名成功后【资产中心—基础安全】防护默认打开。

• CLB-WAF（负载均衡型）域名接入：输入域名，配置代理，负载均衡监听器，点击确定即可。新增域名成功后【资产中心—基础安全】防护默认打开。

• 域名列表查看配置，防护开关、回源IP等接入情况，确认接入成功。

五、参考链接

https://www.openssl.org/news/secadv/20221101.txt

https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

六、联系我们

如需获得帮助可以直接扫码联系我们：