摘要
谷歌根据协调漏洞披露(CVD)向微软报告了可能影响使用Azure Storage SDK(Python/.NET/Java版)客户端加密功能的填充Oracle漏洞(CVE-2022-30187)。微软已于2022年7月12日发布客户端加密功能v2正式版(GA)进行修复。目前未发现该漏洞在Azure服务中被利用的案例。
客户影响
使用受影响版本客户端加密功能的应用需升级至v2版本以确保安全。客户可通过Azure Storage博客中的"如何验证是否使用客户端加密功能"章节确认影响范围。迁移v2需要:a)更新代码使用v2加密方案;b)迁移v1加密数据至v2。替代方案可考虑使用Azure存储服务端加密。
技术细节
Azure Storage SDK原v1版本使用CBC分组加密模式,当攻击者具有blob写入权限并能观测解密失败时,可能实施填充Oracle攻击。研究表明攻击者需对每个明文字节执行大量密钥操作才能解密blob内容。微软感谢谷歌通过CVD流程报告该漏洞。
参考资源
- Azure Storage博客
- CVE-2022-30187
- 技术支持:通过Azure门户提交支持案例(aka.ms/azsupt)