西北农林科技大学信息化管理处(网络与教育技术中心)-全讯官网
发布日期:2022-03-22 作者: 来源:
1、漏洞概述
openssl组件存在拒绝服务漏洞的信息(cve-2022-0778)。该漏洞是由于证书解析时使用的bn_mod_sqrt()函数包含一个致命错误,它会导致在非质数的情况下无限循环,并且可通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的,因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。
另外,当解析特制的私钥时(包含显式椭圆曲线参数),也可以触发无限循环。其他使用bn_mod_sqrt()的应用程序,如果可以控制参数值,也会受到此漏洞影响。鉴于该漏洞影响较大且漏洞poc已公开。建议各位师生用户尽快自查并做好升级工作。
2、影响范围
漏洞编号 |
影响版本 |
安全版本 |
cve-2022-0778 |
openssl == 1.0.2 openssl == 1.1.1 openssl == 3.0 |
openssl == 1.0.2zd(仅限高级支持用户) openssl == 1.1.1n openssl == 3.0.2 |
风险评级:高危
4、修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到对应版本。
openssl1.0.2 用户应升级至1.0.2zd(仅限高级支持客户)openssl1.1.1 用户应升级至 1.1.1n,openssl3.0 用户应升级至 3.0.2下载链接如下:https://www.openssl.org/source/。