OpenSSL 3.0 ~ 3.0.6 のリスク (CVE-2022-3786 および CVE-2202-3602) に関する認識とガイダンス

本博客是《Awareness and guidance related to OpenSSL 3.0 – 3.0.6 risk (CVE-2022-3786 and CVE-2202-3602)》的摘要翻译版。最新信息请参考原文。

概要

微软已意识到2022年10月25日（美国时间）发布的OpenSSL漏洞（在版本3.0.7中修复）的相关影响，并正在积极应对。作为微软标准流程的一部分，我们已发布受影响服务的修复程序。有关必要操作，请参阅本博客及相关安全更新指南（CVE-2022-3786 安全更新指南和CVE-2022-3602 安全更新指南）。作为最佳实践，建议管理自身环境的客户应用OpenSSL的最新安全更新。强烈建议参考安全更新指南以确认必要操作。

OpenSSL版本3.0.7于2022年11月1日（美国时间）公开发布，OpenSSL已将CVE-2022-3602的严重性评级从“紧急”降级为“高”。OpenSSL 3.0.7修复了两个漏洞（CVE-2022-3786和CVE-2022-3602），这些漏洞对执行证书验证的系统可能造成拒绝服务影响。攻击者向在身份验证过程中解析证书的客户端或服务器发送恶意构造的证书时，可能引发崩溃。目前，这些漏洞似乎不会导致可靠的远程代码执行，且尚未确认存在攻击活动。

分析

拒绝服务（DoS）漏洞源于OpenSSL在执行X.509证书验证时，名称约束检查过程中可能发生的两个缓冲区溢出。缓冲区溢出发生在证书链验证之后，当证书颁发机构对恶意证书进行签名（可能性较低）或应用程序在无法构建到可信发布者的证书链时继续证书验证时发生。

攻击者可能通过精心构造X.509证书中的恶意电子邮件地址来利用这些漏洞，导致栈溢出。这可能引发崩溃，造成拒绝服务。

此漏洞影响TLS客户端和服务器。对于客户端，漏洞可能通过连接到恶意服务器触发；对于服务器，当服务器要求客户端证书认证且配置恶意证书的客户端连接到服务器时可能触发。

缓解措施

唯一的缓解措施是升级到OpenSSL版本3.0.7。

微软正在采取措施更新使用受影响OpenSSL 3.0至3.0.6版本的自身产品和服务。

如果您使用受影响的OpenSSL版本，建议升级到OpenSSL版本3.0.7。有关依赖OpenSSL 3.0至3.0.6的微软产品和服务的列表，请参阅微软安全更新指南（CVE-2022-3786 安全更新指南和CVE-2022-3602 安全更新指南）。

客户可以使用Microsoft Defender Vulnerability Management的选项卡跟踪组织的暴露和修复状态。

微软安全产品指南

Microsoft Defender for Cloud提供两个功能，帮助快速确定环境是否易受攻击并确定操作优先级。详细信息请参阅此博客。

使用Microsoft Defender Vulnerability Management跟踪运行易受攻击OpenSSL版本的终端上的组织暴露和修复状态。此博客概述了客户可以采取的步骤来识别易受攻击资产并应用修复。

Microsoft Defender for Endpoint客户可以在Microsoft 365 Defender门户中使用Threat Analytics获取最新威胁情况，并利用Microsoft Defender Vulnerability Management的指南检测易受攻击资产。

Microsoft Defender External Attack Surface Management持续发现和映射数字攻击面，提供在线基础设施的外部视图。攻击面洞察利用漏洞和基础设施数据生成，以识别组织的主要关注点。已发布高严重性洞察，用于识别使用OpenSSL版本3.0至3.0.6的攻击面资产。此检测通过读取HTTP头在网站上非常有效，但其他远程协议不会通告OpenSSL版本。因此，强烈建议登录每个连接到互联网的系统并运行“openssl version”以检查补丁级别。大多数Linux发行版尚未切换到OpenSSL 3，因此不易受攻击。

安全信息

安全更新

上一篇文章 | 下一篇文章

相关文章

2025年7月安全更新（月度） 2025年6月安全更新（月度） 2025年5月安全更新（月度）