1、漏洞概述
OpenSSL组件存在拒绝服务漏洞的信息(CVE-2022-0778)。该漏洞是由于证书解析时使用的BN_mod_sqrt()函数包含一个致命错误,它会导致在非质数的情况下无限循环,并且可通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的,因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。
另外,当解析特制的私钥时(包含显式椭圆曲线参数),也可以触发无限循环。其他使用BN_mod_sqrt()的应用程序,如果可以控制参数值,也会受到此漏洞影响。鉴于该漏洞影响较大且漏洞poc已公开。建议各位师生用户尽快自查并做好升级工作。
2、影响范围
漏洞编号 |
影响版本 |
安全版本 |
CVE-2022-0778 |
OpenSSL == 1.0.2 OpenSSL == 1.1.1 OpenSSL == 3.0 |
OpenSSL == 1.0.2zd(仅限高级支持用户) OpenSSL == 1.1.1n OpenSSL == 3.0.2 |
风险评级:高危
4、修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到对应版本。
OpenSSL1.0.2 用户应升级至1.0.2zd(仅限高级支持客户)OpenSSL1.1.1 用户应升级至 1.1.1n,OpenSSL3.0 用户应升级至 3.0.2下载链接如下:https://www.openssl.org/source/。