OpenSSL拒绝服务漏洞风险提示

1、漏洞概述

OpenSSL组件存在拒绝服务漏洞的信息（CVE-2022-0778）。该漏洞是由于证书解析时使用的BN_mod_sqrt()函数包含一个致命错误，它会导致在非质数的情况下无限循环，并且可通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的，因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。

另外，当解析特制的私钥时(包含显式椭圆曲线参数)，也可以触发无限循环。其他使用BN_mod_sqrt()的应用程序，如果可以控制参数值，也会受到此漏洞影响。鉴于该漏洞影响较大且漏洞poc已公开。建议各位师生用户尽快自查并做好升级工作。

2、影响范围

风险评级：高危
4、修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到对应版本。

OpenSSL1.0.2 用户应升级至1.0.2zd（仅限高级支持客户）OpenSSL1.1.1 用户应升级至 1.1.1n,OpenSSL3.0 用户应升级至 3.0.2下载链接如下：https://www.openssl.org/source/。