【漏洞預警】OpenSSL拒絕服務漏洞

1. 通告信息

近日，安識科技A-Team團隊監測到一則 OpenSSL 組件存在拒絕服務漏洞的信息，漏洞編號：CVE-2022-0778，漏洞威脅等級：高危。該漏洞是由于證書解析時使用的 BN_mod_sqrt() 函數存在一個錯誤，它會導致在非質數的情況下永遠循環。可通過生成包含無效的顯式曲線參數的證書來觸發無限循環。由于證書解析是在驗證證書簽名之前進行的，因此任何解析外部提供的證書的程序都可能受到拒絕服務攻擊。此外，當解析特制的私鑰時(包含顯式橢圓曲線參數)，也可以觸發無限循環。攻擊者可利用該漏洞對使用服務器證書的 TLS 客戶端、使用客戶端證書的 TLS 服務端、托管服務提供商從客戶那里獲得證書或私鑰、證書頒發機構解析來自訂閱者的認證請求、解析 ASN.1 橢圓曲線參數的任何其他內容、引起拒絕服務 (DoS) 攻擊。

對此，安識科技建議廣大用戶及時升級到安全版本，并做好資產自查以及預防工作，以免遭受黑客攻擊。  

2. 漏洞概述

CVE：CVE-2022-0778

簡述：OpenSSL是一個開放源代碼的軟件庫包，應用程序可以使用這個包來進行安全通信，避免竊聽，同時確認另一端連接者的身份。該漏洞是由于證書解析時使用的 BNmodsqrt() 函數存在一個錯誤，攻擊者可利用該漏洞引起拒絕服務 (DoS) 攻擊。

3. 漏洞危害

攻擊者可利用該漏洞引起拒絕服務 (DoS) 攻擊。

4. 影響版本

目前受影響的 OpenSSL 版本：

OpenSSL版本1.0.2：1.0.2-1.0.2zc

OpenSSL版本1.1.1：1.1.1-1.1.1m

OpenSSL版本 3.0：3.0.0、3.0.1

5. 解決方案

當前官方已發布最新版本，建議受影響的用戶及時更新升級到對應版本。

OpenSSL 1.0.2 用戶應升級至 1.0.2zd（僅限高級支持客戶）

OpenSSL 1.1.1 用戶應升級至 1.1.1n

OpenSSL 3.0 用戶應升級至 3.0.2

鏈接如下：

https://www.openssl.org/source/https://github.com/embedthis/goahead

6. 時間軸

【-】2022年03月16日 安識科技A-Team團隊監測到漏洞公布信息

【-】2022年03月16日 安識科技A-Team團隊根據漏洞信息分析

【-】2022年03月17日 安識科技A-Team團隊發布安全通告