如何了解托管在Azure云中的OpenSSL版本

Question

我知道这与编码无关，但我真的需要知道这一点。已经在谷歌上搜索过了，但没有找到具体答案。

客户端想知道我们的应用程序是否易受OpenSSL中发现的最新漏洞的影响。CVE-2022-3786 CVE-2022-3602

参考资料：https://snyk.io/blog/new-openssl-critical-vulnerability/

Answer 1

您可以找到易受攻击的机器，并为云的库存工具提供保护：

1. 登录到Azure入口。
2. 导航到Microsoft for Cloud > Inventory
3. 使用内置过滤器查找您的风险机器：
   • 使用安装的应用程序筛选器搜索“包含openssl”或特定包
   • 使用安装的应用程序版本筛选器查找受影响的版本(3.0.0-3.0.6)

根据站得住脚

OpenSSL版本3.0.7已经发布，以解决这些漏洞。

您不会说您拥有什么样的WebApp，但是在WebApp中更新OpenSSL就足够了。

更新

您可以使用命令OpenSSL获得openssl version版本。

您可以在Azure门户中找到应用程序服务控制台。

​

​

Answer 2

MSFT在Ignite上宣布了防御者CSPM，DCSPM的一个特性是，并且它有一个内置的模板，用于这个精确的场景。该功能处于预览阶段，可以免费使用(目前)。

OpenSSL检测