安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
OpenSSL拒绝服务漏洞
2022-03-18 11:11:35 【

1. 通告信息


近日,防御吧A-Team团队监测到一则 OpenSSL 组件存在拒绝服务漏洞的信息,漏洞编号:CVE-2022-0778,漏洞威胁等级:高危。该漏洞是由于证书解析时使用的 BN_mod_sqrt() 函数存在一个错误,它会导致在非质数的情况下永远循环。可通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的,因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。此外,当解析特制的私钥时(包含显式椭圆曲线参数),也可以触发无限循环。攻击者可利用该漏洞对使用服务器证书的 TLS 客户端、使用客户端证书的 TLS 服务端、托管服务提供商从客户那里获得证书或私钥、证书颁发机构解析来自订阅者的认证请求、解析 ASN.1 椭圆曲线参数的任何其他内容、引起拒绝服务 (DoS) 攻击。


对此,防御吧建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。



2. 漏洞概述


CVE:CVE-2022-0778


简述:OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。该漏洞是由于证书解析时使用的 BN_mod_sqrt() 函数存在一个错误,攻击者可利用该漏洞引起拒绝服务 (DoS) 攻击。



3. 漏洞危害


攻击者可利用该漏洞引起拒绝服务 (DoS) 攻击。



4. 影响版本


目前受影响的 OpenSSL 版本:


OpenSSL版本1.0.2:1.0.2-1.0.2zc


OpenSSL版本1.1.1:1.1.1-1.1.1m


OpenSSL版本 3.0:3.0.0、3.0.1



5. 解决方案


当前官方已发布最新版本,建议受影响的用户及时更新升级到对应版本。


OpenSSL 1.0.2 用户应升级至 1.0.2zd(仅限高级支持客户)


OpenSSL 1.1.1 用户应升级至 1.1.1n


OpenSSL 3.0 用户应升级至 3.0.2


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇Google Play 用户需要提防这个窃.. 下一篇网络安全 kali web安全「渗透测试..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800