【漏洞预警】OpenSSL拒绝服务漏洞

1. 通告信息

近日，安识科技A-Team团队监测到一则 OpenSSL 组件存在拒绝服务漏洞的信息，漏洞编号：CVE-2022-0778，漏洞威胁等级：高危。该漏洞是由于证书解析时使用的 BN_mod_sqrt() 函数存在一个错误，它会导致在非质数的情况下永远循环。可通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的，因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。此外，当解析特制的私钥时(包含显式椭圆曲线参数)，也可以触发无限循环。攻击者可利用该漏洞对使用服务器证书的 TLS 客户端、使用客户端证书的 TLS 服务端、托管服务提供商从客户那里获得证书或私钥、证书颁发机构解析来自订阅者的认证请求、解析 ASN.1 椭圆曲线参数的任何其他内容、引起拒绝服务 (DoS) 攻击。

对此，安识科技建议广大用户及时升级到安全版本，并做好资产自查以及预防工作，以免遭受黑客攻击。  

2. 漏洞概述

CVE：CVE-2022-0778

简述：OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。该漏洞是由于证书解析时使用的 BNmodsqrt() 函数存在一个错误，攻击者可利用该漏洞引起拒绝服务 (DoS) 攻击。

3. 漏洞危害

攻击者可利用该漏洞引起拒绝服务 (DoS) 攻击。

4. 影响版本

目前受影响的 OpenSSL 版本：

OpenSSL版本1.0.2：1.0.2-1.0.2zc

OpenSSL版本1.1.1：1.1.1-1.1.1m

OpenSSL版本 3.0：3.0.0、3.0.1

5. 解决方案

当前官方已发布最新版本，建议受影响的用户及时更新升级到对应版本。

OpenSSL 1.0.2 用户应升级至 1.0.2zd（仅限高级支持客户）

OpenSSL 1.1.1 用户应升级至 1.1.1n

OpenSSL 3.0 用户应升级至 3.0.2

链接如下：

https://www.openssl.org/source/https://github.com/embedthis/goahead

6. 时间轴

【-】2022年03月16日 安识科技A-Team团队监测到漏洞公布信息

【-】2022年03月16日 安识科技A-Team团队根据漏洞信息分析

【-】2022年03月17日 安识科技A-Team团队发布安全通告