1. 通告信息
近日�����,防御吧A-Team團隊監(jiān)測到一則 OpenSSL 組件存在拒絕服務(wù)漏洞的信息����,漏洞編號:CVE-2022-0778,漏洞威脅等級:高危���。該漏洞是由于證書解析時使用的 BN_mod_sqrt() 函數(shù)存在一個錯誤,它會導(dǎo)致在非質(zhì)數(shù)的情況下永遠(yuǎn)循環(huán)����。可通過生成包含無效的顯式曲線參數(shù)的證書來觸發(fā)無限循環(huán)�����。由于證書解析是在驗證證書簽名之前進行的,因此任何解析外部提供的證書的程序都可能受到拒絕服務(wù)攻擊�����。此外���,當(dāng)解析特制的私鑰時(包含顯式橢圓曲線參數(shù))�,也可以觸發(fā)無限循環(huán)��。攻擊者可利用該漏洞對使用服務(wù)器證書的 TLS 客戶端�、使用客戶端證書的 TLS 服務(wù)端、托管服務(wù)提供商從客戶那里獲得證書或私鑰�����、證書頒發(fā)機構(gòu)解析來自訂閱者的認(rèn)證請求����、解析 ASN.1 橢圓曲線參數(shù)的任何其他內(nèi)容、引起拒絕服務(wù) (DoS) 攻擊����。
對此�,防御吧建議廣大用戶及時升級到安全版本����,并做好資產(chǎn)自查以及預(yù)防工作,以免遭受黑客攻擊��。
2. 漏洞概述
CVE:CVE-2022-0778
簡述:OpenSSL是一個開放源代碼的軟件庫包��,應(yīng)用程序可以使用這個包來進行安全通信����,避免竊聽,同時確認(rèn)另一端連接者的身份�。該漏洞是由于證書解析時使用的 BN_mod_sqrt() 函數(shù)存在一個錯誤,攻擊者可利用該漏洞引起拒絕服務(wù) (DoS) 攻擊����。
3. 漏洞危害
攻擊者可利用該漏洞引起拒絕服務(wù) (DoS) 攻擊。
4. 影響版本
目前受影響的 OpenSSL 版本:
OpenSSL版本1.0.2:1.0.2-1.0.2zc
OpenSSL版本1.1.1:1.1.1-1.1.1m
OpenSSL版本 3.0:3.0.0�、3.0.1
5. 解決方案
當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時更新升級到對應(yīng)版本����。
OpenSSL 1.0.2 用戶應(yīng)升級至 1.0.2zd(僅限高級支持客戶)
OpenSSL 1.1.1 用戶應(yīng)升級至 1.1.1n
OpenSSL 3.0 用戶應(yīng)升級至 3.0.2
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
