99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

安全通告

OpenSSL拒絕服務(wù)漏洞安全風險通告

發(fā)布日期：2022-3-18

?

漏洞描述

近日，監(jiān)測到一則OpenSSL官方發(fā)布了安全更新，修復了OpenSSL拒絕服務(wù)漏洞（CVE-2022-0778），OpenSSL中的BN_mod_sqrt()函數(shù)包含一個致命錯誤，攻擊者可以通過構(gòu)造特定證書來觸發(fā)無限循環(huán)，由于證書解析發(fā)生在證書簽名驗證之前，因此任何解析外部提供的證書場景都可能實現(xiàn)拒絕服務(wù)攻擊。易受攻擊的場景包括：使用了服務(wù)器證書的TLS客戶端，使用客戶端證書的 TLS 服務(wù)器，從客戶那里獲取證書或私鑰的托管服務(wù)提供商，認證機構(gòu)解析來自訂閱者的認證請求，以及任何存在解析 ASN.1 橢圓曲線參數(shù)的功能實現(xiàn)等。

目前，此漏洞細節(jié)及PoC已公開，此漏洞POC有效且穩(wěn)定。鑒于此漏洞影響范圍極大，建議客戶盡快做好自查及防護。

漏洞信息

OpenSSL是一個開放源代碼的軟件庫包，應(yīng)用程序可以使用這個包來保護安全通信，避免竊聽，同時確認另一端連接者的身份，OpenSSL采用C語言作為主要開發(fā)語言，這使得OpenSSL具有優(yōu)秀的跨平臺性能，OpenSSL支持Linux、BSD、Windows、Mac、VMS等平臺，這使其具有廣泛的適用性。

漏洞編號

CVE-2022-0778

漏洞危害

攻擊者可以通過構(gòu)造具有無效顯式曲線參數(shù)的證書來觸發(fā)無限循環(huán)操作，由于證書解析發(fā)生在證書簽名驗證之前，因此任何解析外部提供的證書的過程都可能受到拒絕服務(wù)攻擊。

漏洞等級

高危
受影響版本

OpenSSL版本1.0.2：1.0.2-1.0.2zc

OpenSSL版本1.1.2：1.1.1-1.1.1m

OpenSSL版本3.0：3.0.0、3.0.1

不受影響版本

OpenSSL == 1.0.2zd（僅限高級支持用戶）

OpenSSL == 1.1.1n

OpenSSL == 3.0.2

其他受影響組件

Ubuntu、Debian、Redhat、CentOS、SUSE等平臺均受影響。

修復方案

目前，OpenSSL官方已針對此漏洞發(fā)布修復版本，建議用戶盡快升級至安全版本。

1.升級OpenSSL

OpenSSL 1.0.2 用戶應(yīng)升級到 1.0.2zd（僅限高級支持客戶）

OpenSSL 1.1.1 用戶應(yīng)升級到 1.1.1n

OpenSSL 3.0 用戶應(yīng)升級到 3.0.2

注意：OpenSSL 1.1.0版本及OpenSSL 1.0.2版本已停服，高級支持用戶需要更新請聯(lián)系官方：https://www.openssl.org/support/contracts.html

2.其他主流平臺升級

使用了OpenSSL的其他平臺如Ubuntu、Debian、Redhat、CentOS、SUSE均受此漏洞影響，具體受影響的平臺版本及修復建議請參考如下官方說明：

（1）Ubuntu

https://www.linux.org/threads/usn-5328-2-openssl-vulnerability.39606/

https://ubuntu.com/security/notices/USN-5328-1

（2）Debian

https://www.debian.org/security/2022/dsa-5103

（3）Redhat

https://access.redhat.com/security/cve/cve-2022-0778

（4）SUSE

https://www.suse.com/security/cve/CVE-2022-0778.html

參考鏈接

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0778