首页 >> 网络安全 >>漏洞预警 >> CVE-2022-0778:OpenSSL 拒绝服务漏洞警报
详细内容

CVE-2022-0778:OpenSSL 拒绝服务漏洞警报

时间:2022-03-17     【转载】   阅读

OpenSSL 项目组于 2022 年 3 月 15 日发布安全公告,披露了 CVE-2022-0778漏洞,该漏洞严重性较高,CVSS 评分为 7.5。此漏洞影响 OpenSSL 版本 1.0.2、1.1.1 和 3.0,并在 2022 年 3 月 15 日发布的版本 1.1.1n 和 3.0.2 中得到修复。


漏洞详情:

用于计算平方根的函数 BN_mod_sqrt() 包含一个错误,该错误可能导致它对非素数模数无限循环。当解析包含压缩形式的椭圆曲线公钥或具有压缩形式编码的基点的显式椭圆曲线参数的证书时,内部使用此函数。


“由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书的过程都可能受到拒绝服务攻击,”OpenSSL 在 2022 年 3 月 15 日发布的公告中表示。


可以制作特定的证书来触发无限循环,易受攻击的情况包括:

  1. 使用服务器证书的 TLS 客户端

  2. 使用客户端证书的 TLS 服务器

  3. 托管服务提供商从客户那里获取证书或私钥

  4. 证书颁发机构解析来自订户的认证请求

  5. 解析 ASN.1 椭圆曲线参数的任何其他内容


解决方案

目前OpenSSL项目组已经发布新版本修复CVE-2022-0778漏洞,建议使用OpenSSL的用户尽快升级到最新版本。

技术支持: 建站ABC | 管理登录