1. 通告信息
近日,安识科技A-Team团队监测到一则 OpenSSL 组件存在拒绝服务漏洞的信息,漏洞编号:CVE-2022-0778,漏洞威胁等级:高危。该漏洞是由于证书解析时使用的 BN_mod_sqrt() 函数存在一个错误,它会导致在非质数的情况下永远循环。可通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的,因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。此外,当解析特制的私钥时(包含显式椭圆曲线参数),也可以触发无限循环。攻击者可利用该漏洞对使用服务器证书的 TLS 客户端、使用客户端证书的 TLS 服务端、托管服务提供商从客户那里获得证书或私钥、证书颁发机构解析来自订阅者的认证请求、解析 ASN.1 椭圆曲线参数的任何其他内容、引起拒绝服务 (DoS) 攻击。
对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。
2. 漏洞概述
CVE:CVE-2022-0778
简述:OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。该漏洞是由于证书解析时使用的 BN_mod_sqrt() 函数存在一个错误,攻击者可利用该漏洞引起拒绝服务 (DoS) 攻击。
3. 漏洞危害
攻击者可利用该漏洞引起拒绝服务 (DoS) 攻击。
4. 影响版本
目前受影响的 OpenSSL 版本:
OpenSSL版本1.0.2:1.0.2-1.0.2zc
OpenSSL版本1.1.1:1.1.1-1.1.1m
OpenSSL版本 3.0:3.0.0、3.0.1
5. 解决方案
当前官方已发布最新版本,建议受影响的用户及时更新升级到对应版本。
OpenSSL 1.0.2 用户应升级至 1.0.2zd(仅限高级支持客户)
OpenSSL 1.1.1 用户应升级至 1.1.1n
OpenSSL 3.0 用户应升级至 3.0.2
链接如下:
https://www.openssl.org/source/https://github.com/embedthis/goahead
6. 时间轴
【-】2022年03月16日 安识科技A-Team团队监测到漏洞公布信息
【-】2022年03月16日 安识科技A-Team团队根据漏洞信息分析
【-】2022年03月17日 安识科技A-Team团队发布安全通告