OpenSSL拒绝服务漏洞安全通告(CVE-2022-0778)

admin
admin
admin
144121
文章
118
评论
2022年3月30日07:58:28评论6 views字数 687阅读2分17秒阅读模式

OpenSSL拒绝服务漏洞安全通告(CVE-2022-0778)

近日,沈阳网络安全协会信息通报机制合作单位新华三集团(H3C)提醒, OpenSSL官方发布安全更新公告,其中包含一个高危漏洞(CVE-2022-0778),建议用户更新OpenSSL到最新的安全版本避免遭受攻击利用。

1漏洞综述

1.1 漏洞背景

OpenSSL是一个开放源代码的安全套接字层密码库包,囊括主要的密码算法、常用密钥、证书封装管理功能及实现ssl协议。应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页及应用服务器上。

1.2 漏洞原理

该漏洞是由于OpenSSL库中BN_mod_sqrt()函数存在一个错误,导致其在非质数的情况下无限循环。当解析包含压缩形式的椭圆曲线公钥或者带有显式椭圆曲线参数的证书时,会使用到BN_mod_sqrt() 函数。攻击者可以通过构造具有无效显式曲线参数的证书来触发无限循环操作,由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书的过程都可能受到拒绝服务攻击。

2影响范围

OpenSSL版本1.0.2:1.0.2-1.0.2zc
OpenSSL版本1.1.2:1.1.1-1.1.1m
OpenSSL版本3.0:  3.0.0、3.0.1

3处置方法

3.1 官方补丁

查看系统版本是否在受影响版本内命令:openssl version
OpenSSL拒绝服务漏洞安全通告(CVE-2022-0778)
OpenSSL官方已经在新版本中修复该漏洞,请升级至OpenSSL的安全版本:
下载链接:
https://www.openssl.org/source

OpenSSL拒绝服务漏洞安全通告(CVE-2022-0778)

原文始发于微信公众号(沈阳网络安全协会):OpenSSL拒绝服务漏洞安全通告(CVE-2022-0778)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月30日07:58:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   OpenSSL拒绝服务漏洞安全通告(CVE-2022-0778)https://cn-sec.com/archives/853705.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息