openssl修复(高危安全通告OpenSSL拒绝服务漏洞)
近日,安全狗应急响应中心监测到OpenSSL官方发布安全通告,公告提示其产品OpenSSL存在远程拒绝服务漏洞漏洞编号CVE-2022-0778,我来为大家科普一下关于openssl修复?以下内容希望对你有帮助!
openssl修复
近日,安全狗应急响应中心监测到OpenSSL官方发布安全通告,公告提示其产品OpenSSL存在远程拒绝服务漏洞。漏洞编号CVE-2022-0778。
漏洞描述
OpenSSL是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。
根据OpenSSL官方公告描述,由于证书解析时使用的BN_mod_sqrt()函数存在一个错误,它会导致在非质数的情况下无限循环。可通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的,因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。
此外,当解析特制的私钥时(包含显式椭圆曲线参数),也可以触发无限循环。任何使用BN_mod_sqrt()的其他应用程序,如果可以控制参数值,也会受到此漏洞影响。
全通告信息
漏洞名称 |
OpenSSL 拒绝服务漏洞 |
漏洞影响版本 |
1.0.2< OpenSSL <1.0.2zd 1.1.1< OpenSSL <1.1.1n 3.0< OpenSSL <3.0.2 |
漏洞危害等级 |
高危 |
厂商是否已发布漏洞补丁 |
是 |
版本更新地址 |
https://www.openssl.org/news/secadv/20220315.txt |
安全狗总预警期数 |
210 |
安全狗发布预警日期 |
2022年3月17日 |
安全狗更新预警日期 |
2022年3月17日 |
发布者 |
安全狗海青实验室 |
处置措施
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【安全版本】
OpenSSL 1.0.2 系列 >= 1.0.2zd
OpenSSL 1.1.1 系列 >= 1.1.1n
OpenSSL 3.0 系列 >= 3.0.2
【备注】:建议您在升级前做好数据备份工作,避免出现意外
【参考连接】
https://www.openssl.org/news/secadv/20220315.txt
,免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com