ATLATL获得高瓴数亿美元融资,联合启动Aseed+首飞计划
06-17
上周,业界广泛使用的开源软件包OpenSSL加密和安全通信的漏洞被暴露,存在“严重”级漏洞。直到11月1日,OpenSSL基金会终于发布了OpenSSL 3.0.7版本,并公布了已修复的两个高危漏洞的详细信息。
据安全媒体《SecurityWeek》报道,这是OpenSSL今年以来首个重大漏洞。受OpenSSL漏洞影响,原定于10月中旬发布的Fedora 37也被推迟至11月中旬。
漏洞详情公布后,腾讯安全迅速做出回应。目前,腾讯云主机安全和Web应用防火墙支持OpenSSL溢出漏洞的检测和防护。
由于OpenSSL应用广泛,腾讯安全专家建议使用3.0.0-3.0.6版本的用户升级到最新版本3.0.7。 1.漏洞概述 SSL是一种流行的加密技术,是Secure Socket Layer(安全套接字层协议)的缩写,可以保护通过互联网传输的用户隐私信息。
目前主要应用于网上银行、网上支付、电子商务网站、门户网站。广泛应用于网站、电子邮件等重要网站。
OpenSSL 是用于安全通信的 SSL 和 TLS 协议的开源软件包。它包括主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,可以提供丰富的应用程序用于测试或其他目的。
使用目的。目前,OpenSSL已经集成到多个操作系统和各种软件中。
根据官方描述,本次OpenSSL暴露的两个漏洞CVE-和CVE-是OpenSSL中X.证书验证中的缓冲区溢出漏洞。当证书包含特制的恶意电子邮件地址时,它可能会触发缓冲区溢出,从而导致拒绝服务 (DOS) 或潜在的远程代码执行。
2.漏洞详情CVE-:CVE-是OpenSSL中X.证书验证的名称约束检查功能中的缓冲区溢出漏洞。当证书包含旨在触发缓冲区溢出的特制 punycode 电子邮件地址时,可能会发生此漏洞。
成功利用此漏洞可能会导致拒绝服务 (DOS) 和其他后果。值得一提的是,由于利用该漏洞还可能发生远程代码执行(RCE),因此CVE-最初被评为“严重”,并在各大公共平台和社区持续发酵。
然而,在研究和预发布补丁的一周中,OpenSSL 官方发现大多数现代平台都会包含堆栈溢出保护机制,并且已经验证在某些 Linux 发行版中,RCE 和 DOS 由于堆栈布局的原因并不可行。 。
这降低了该漏洞导致 RCE 的可能性。综上所述,该漏洞在实际情况下造成的RCE风险实际上低于漏洞曝光时人们的预期。
因此,OpenSSL对该漏洞的评级也从“严重”变为“高风险”。此外,要利用此漏洞,攻击者需要说服证书颁发机构签署恶意证书或“允许应用程序继续进行证书验证,而无需构建通往受信任颁发者的路径”。
CVE-:与 CVE- 不同,CVE- 最初并未被评为“严重”。因为在其利用过程中,攻击者只能控制覆盖的长度,而不能控制覆盖的内容。
因此,该漏洞不会导致任何平台上的远程代码执行。此外,要利用此漏洞,攻击者还需要说服证书颁发机构签署恶意证书,或者“允许应用程序继续进行证书验证,而无需构建通往可信颁发者的路径”。
受影响的版本:OpenSSL 表示 CVE-、CVE- 是在 OpenSSL 3.0.0 添加其 punycode 解码功能“用于处理 X.certificates 中的电子邮件地址名称限制”之后引入的。因此,该漏洞仅影响OpenSSL 3.0.0至OpenSSL 3.0.6。
3、官方针对该漏洞的修复建议升级OpenSSL至安全版本:已安装OpenSSL 3.0.0 - 3.0.6的用户受该漏洞影响,建议尽快升级至3.0.7版本。获取链接:7 天免费试用。
收到试用后,您只需几个简单的步骤即可完成保护访问。为了完成漏洞的检测、防护和修复,建议开始试用云防火墙、Web应用防火墙、主机安全这三个产品。
(1)一键试用(已购买的客户可跳过)、漏洞检测(1)使用腾讯T-Sec主机安全(云镜像)检测服务器漏洞并登录腾讯主机安全控制台排查OpenSSL问题溢出漏洞。详细步骤如下: 主机安全(云镜像)控制台:如果当前进入【授权管理】页面绑定主机安全授权,选择“绑定授权”,选择需要扫描的机器;在授权管理页面,打开【漏洞管理】->紧急漏洞,扫描检测“紧急漏洞-OpenSSL溢出漏洞”,查看扫描到的漏洞风险项;确认资产存在脆弱性风险;升级到安全版本;返回主机安全(云镜像)控制台,再次打开【漏洞管理】,重新检测,确保资产不受漏洞影响。
(2)容器镜像:使用腾讯容器安全服务(TCSS)检测容器镜像漏洞。登录腾讯容器安全服务控制台,进入【漏洞管理】页面,对本地镜像和仓库镜像进行排查。
具体步骤如下: 容器安全服务控制台:打开【漏洞管理】->紧急漏洞,点击“一键检测”或“检测紧急漏洞”; 2)如果图片未授权,可以点击批量授权,选择图片授权扫描; 3)扫描完成后,点击详情,确认资产存在漏洞风险; 4)升级到安全版本; 5)返回容器安全服务控制台,再次打开【漏洞管理】,重新检查,确保资产不受漏洞影响。 3、漏洞防御(1)使用腾讯T-Sec Web应用防火墙(WAF)防御漏洞攻击。
腾讯安全Web应用防火墙支持OpenSSL溢出漏洞防护。接入WAF的域名可用于清理通过WAF的漏洞利用流量。
具体如下: 1)确认业务是否接入Web应用防火墙(以下简称WAF):如果业务在腾讯云外,则使用SaaS-WAF(需要域名调度)。详细访问说明:Web应用防火墙控制台,依次打开左侧【资产中心-域名列表】,添加域名并启用保护。
具体步骤如下: Web应用防火墙控制台:【资产中心—域名列表】,点击【添加域名】。 SaaS-WAF域名接入:输入域名,配置端口、源站地址或域名,单击“确定”。
添加域名成功后,【资产中心—基础安全】保护默认开启。 CLB-WAF(负载均衡)域名访问:输入域名,配置代理、负载均衡监听,单击“确定”。
添加域名成功后,【资产中心—基础安全】保护默认开启。检查配置域名列表、保护开关、回源IP等访问状态,确认访问成功。
版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件 举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
标签:
相关文章
06-18
06-17
06-06
06-17
06-18
06-18
06-17
最新文章
【玩转GPU】ControlNet初学者生存指南
【实战】获取小程序中用户的城市信息(附源码)
包雪雪简单介绍Vue.js:开学
Go进阶:使用Gin框架简单实现服务端渲染
线程池介绍及实际案例分享
JMeter 注释 18 - JMeter 常用配置组件介绍
基于Sentry的大数据权限解决方案
【云+社区年度征文集】GPE监控介绍及使用