您现在的位置: 首页» 通知公告

OpenSSL拒绝服务漏洞风险提示

发布日期:2022-03-22  作者: 来源:

OpenSSL拒绝服务漏洞风险提示

1、漏洞概述

OpenSSL组件存在拒绝服务漏洞的信息(CVE-2022-0778)。该漏洞是由于证书解析时使用的BN_mod_sqrt()函数包含一个致命错误,它会导致在非质数的情况下无限循环,并且可通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的,因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。

另外,当解析特制的私钥时(包含显式椭圆曲线参数),也可以触发无限循环。其他使用BN_mod_sqrt()的应用程序,如果可以控制参数值,也会受到此漏洞影响。鉴于该漏洞影响较大且漏洞poc已公开。建议各位师生用户尽快自查并做好升级工作。

2、影响范围

漏洞编号

影响版本

安全版本

CVE-2022-0778

OpenSSL == 1.0.2

OpenSSL == 1.1.1

OpenSSL == 3.0

OpenSSL == 1.0.2zd(仅限高级支持用户)

OpenSSL == 1.1.1n

OpenSSL == 3.0.2

3、漏洞等级

风险评级:高危
4、修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到对应版本。

OpenSSL1.0.2 用户应升级至1.0.2zd(仅限高级支持客户)OpenSSL1.1.1 用户应升级至 1.1.1n,OpenSSL3.0 用户应升级至 3.0.2下载链接如下:https://www.openssl.org/source/。



  

Copyright © 2005-2022 西北农林科技大学信息化管理处(网络与教育技术中心)