- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
漏洞综述
漏洞背景
OpenSSL是一个开放源代码的安全套接字层密码库包,囊括主要的密码算法、常用密钥、证书封装管理功能及实现ssl协议。应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页及应用服务器上。近日,新华三攻防实验室威胁预警团队监测到OpenSSL官方发布安全更新公告,其中包含一个高危漏洞(CVE-2022-0778)。新华三攻防实验室建议用户更新OpenSSL到最新的安全版本避免遭受攻击利用。
漏洞原理
该漏洞是由于OpenSSL库中BN_mod_sqrt()函数存在一个错误,导致其在非质数的情况下无限循环。当解析包含压缩形式的椭圆曲线公钥或者带有显式椭圆曲线参数的证书时,会使用到BN_mod_sqrt() 函数。攻击者可以通过构造具有无效显式曲线参数的证书来触发无限循环操作,由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书的过程都可能受到拒绝服务攻击。
影响范围
OpenSSL版本1.0.2:1.0.2-1.0.2zc
OpenSSL版本1.1.2:1.1.1-1.1.1m
OpenSSL版本3.0: 3.0.0、3.0.1
漏洞等级:高危 CVSS:7.5
处置方法
官方补丁
查看系统版本是否在受影响版本内命令:openssl version
OpenSSL官方已经在新版本中修复该漏洞,请升级至OpenSSL的安全版本:
下载链接:
https://www.openssl.org/source
参考链接
https://www.openssl.org/news/secadv/20220315.txt
https://nvd.nist.gov/vuln/detail/CVE-2022-0778
产品与解决方案
售前咨询
售后咨询
人工在线咨询
