您现在的位置: 全讯官网-7003全讯入口» 全讯官网的公告

西北农林科技大学信息化管理处(网络与教育技术中心)-全讯官网

发布日期:2022-03-22  作者: 来源:

1、漏洞概述

openssl组件存在拒绝服务漏洞的信息(cve-2022-0778)。该漏洞是由于证书解析时使用的bn_mod_sqrt()函数包含一个致命错误,它会导致在非质数的情况下无限循环,并且可通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的,因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。

另外,当解析特制的私钥时(包含显式椭圆曲线参数),也可以触发无限循环。其他使用bn_mod_sqrt()的应用程序,如果可以控制参数值,也会受到此漏洞影响。鉴于该漏洞影响较大且漏洞poc已公开。建议各位师生用户尽快自查并做好升级工作。

2、影响范围

漏洞编号

影响版本

安全版本

cve-2022-0778

openssl == 1.0.2

openssl == 1.1.1

openssl == 3.0

openssl == 1.0.2zd(仅限高级支持用户)

openssl == 1.1.1n

openssl == 3.0.2

3、漏洞等级

风险评级:高危
4、修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到对应版本。

openssl1.0.2 用户应升级至1.0.2zd(仅限高级支持客户)openssl1.1.1 用户应升级至 1.1.1n,openssl3.0 用户应升级至 3.0.2下载链接如下:https://www.openssl.org/source/。



  

7003全讯入口 copyright © 2005-2022 西北农林科技大学信息化管理处(网络与教育技术中心)
网站地图