您所在的位置: 首頁 >
安全研究 >
安全通告 >
【漏洞通告】OpenSSL拒絕服務漏洞
【漏洞通告】OpenSSL拒絕服務漏洞(CVE-2022-0778)
0x00 漏洞概述
0x01 漏洞詳情
3月15日,OpenSSL官方發(fā)布安全公告,修復了OpenSSL 版本 1.0.2、1.1.1和 3.0中的拒絕服務漏洞(CVE-2022-0778)。
由于證書解析時使用的 BN_mod_sqrt() 函數(shù)存在一個錯誤,它會導致在非質(zhì)數(shù)的情況下永遠循環(huán)??赏ㄟ^生成包含無效的顯式曲線參數(shù)的證書來觸發(fā)無限循環(huán)。由于證書解析是在驗證證書簽名之前進行的,因此任何解析外部提供的證書的程序都可能受到拒絕服務攻擊。此外,當解析特制的私鑰時(包含顯式橢圓曲線參數(shù)),也可以觸發(fā)無限循環(huán)。
因此易受攻擊的情況如下:
● 使用服務器證書的 TLS 客戶端
● 使用客戶端證書的 TLS 服務器
● 托管服務提供商從客戶處獲取證書或私鑰
● 證書頒發(fā)機構(gòu)解析來自訂閱者的認證請求
● 任何其他解析ASN.1橢圓曲線參數(shù)的程序
此外,任何使用BN_mod_sqrt()的其他應用程序,如果可以控制參數(shù)值,也會受到此漏洞影響。需要注意的是,任何需要證書中公鑰的操作都會觸發(fā)無限循環(huán),特別是自簽名的證書,在驗證證書簽名時會觸發(fā)循環(huán)。
影響范圍
OpenSSL版本1.0.2:1.0.2-1.0.2zc
OpenSSL版本1.1.1:1.1.1-1.1.1m
OpenSSL版本 3.0:3.0.0、3.0.1
0x02 安全建議
目前此漏洞已經(jīng)修復,建議受影響用戶及時升級更新:
OpenSSL 1.0.2 用戶應升級至 1.0.2zd(僅限高級支持客戶)
OpenSSL 1.1.1 用戶應升級至 1.1.1n
OpenSSL 3.0 用戶應升級至 3.0.2
下載鏈接:
https://www.openssl.org/source/
注:OpenSSL 1.0.2 和OpenSSL1.1.0 已停止支持。
0x03 參考鏈接
https://www.openssl.org/news/secadv/20220315.txt
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0778
https://securityaffairs.co/wordpress/129104/security/openssl-dos-vulnerability.html?
0x04 版本信息
來源:維他命安全