【高危安全通告】OpenSSL 拒绝服务漏洞

近日，安全狗应急响应中心监测到OpenSSL官方发布安全通告，公告提示其产品OpenSSL存在远程拒绝服务漏洞。漏洞编号CVE-2022-0778。

漏洞描述

OpenSSL是一个安全套接字层密码库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，并提供丰富的应用程序供测试或其它目的使用。

根据OpenSSL官方公告描述，由于证书解析时使用的BN_mod_sqrt()函数存在一个错误，它会导致在非质数的情况下无限循环。可通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的，因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。

此外，当解析特制的私钥时(包含显式椭圆曲线参数)，也可以触发无限循环。任何使用BN_mod_sqrt()的其他应用程序，如果可以控制参数值，也会受到此漏洞影响。

全通告信息

漏洞名称	OpenSSL 拒绝服务漏洞
漏洞影响版本	1.0.2< OpenSSL <1.0.2zd 1.1.1< OpenSSL <1.1.1n 3.0< OpenSSL <3.0.2
漏洞危害等级	高危
厂商是否已发布漏洞补丁	是
版本更新地址	https://www.openssl.org/news/secadv/20220315.txt
安全狗总预警期数	210
安全狗发布预警日期	2022年3月17日
安全狗更新预警日期	2022年3月17日
发布者	安全狗海青实验室

处置措施

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【安全版本】

OpenSSL 1.0.2 系列 >= 1.0.2zd

OpenSSL 1.1.1 系列 >= 1.1.1n

OpenSSL 3.0 系列 >= 3.0.2

【备注】：建议您在升级前做好数据备份工作，避免出现意外

【参考连接】

https://www.openssl.org/news/secadv/20220315.txt

[backcolor=rgba(211, 211, 211, 0.86)][size=1.2em]Text.