OpenSSL发布公告 旧版本存在拒绝服务攻击漏洞 用户应尽早升级
OpenSSL 项目组于 2022 年 3 月 15 日发布安全公告披露 CVE-2022-0778 号漏洞,该漏洞严重性为高,CVSS 评分 7.5 分/ 10 分。目前 OpenSSL 项目组已经发布新版本修复漏洞,建议使用 OpenSSL 的用户尽快升级到最新版本。
以下为版本升级信息:
此漏洞影响 OpenSSL 1.0.2、1.1.1 和 3.0 版,漏洞在 2022 年 3 月 15 日发布的 1.1.1n 和 3.0.2 版中得到修复。
OpenSSL 1.0.2 版用户应升级到 1.0.2zd 版(仅限高级支持客户)、OpenSSL 1.1.1 版用户应升级到 1.1.1n 版、OpenSSL 3.0 版用户应升级到 3.0.2 版。其中 OpenSSL 1.0.2 版不再支持且不再接收公共安全更新,扩展支持的用户仍然可以获得安全更新。OpenSSL 1.1.0 版不再支持且不再接收任何类型的更新,该版本受漏洞影响,请用户及时切换到其他分支版本。
1.1.1n 版下载地址:https://www.openssl.org/source/openssl-1.1.1n.tar.gz
3.0.2 版下载地址:https://www.openssl.org/source/openssl-3.0.2.tar.gz
升级方法可参考此博客:https://blog.zhheo.com/p/87f1d743.html
以下为漏洞信息:
用于计算平方根的函数 BN_mod_sqrt() 包含错误,该错误可能导致它对非素数死循环。在内部当解析包含压缩形式的椭圆曲线公钥或带有以压缩形式编码的基点的显式椭圆曲线参数的证书时会使用此函数。
可以制作一个特定的证书来触发无限循环,易受攻击的情况包括:使用服务器证书的 TLS 客户端、使用客户端证书的 TLS 服务端、托管服务提供商从客户那里获得证书或私钥、证书颁发机构解析来自订阅者的认证请求、解析 ASN.1 椭圆曲线参数的任何其他内容、引起拒绝服务 (DoS) 攻击。
详情请查看 OpenSSL 安全公告:https://www.openssl.org/news/secadv/20220315.txt