安全通告

OpenSSL拒绝服务漏洞安全风险通告

发布日期：2022-3-18

漏洞描述

近日，监测到一则OpenSSL官方发布了安全更新，修复了OpenSSL拒绝服务漏洞（CVE-2022-0778），OpenSSL中的BN_mod_sqrt()函数包含一个致命错误，攻击者可以通过构造特定证书来触发无限循环，由于证书解析发生在证书签名验证之前，因此任何解析外部提供的证书场景都可能实现拒绝服务攻击。易受攻击的场景包括：使用了服务器证书的TLS客户端，使用客户端证书的 TLS 服务器，从客户那里获取证书或私钥的托管服务提供商，认证机构解析来自订阅者的认证请求，以及任何存在解析 ASN.1 椭圆曲线参数的功能实现等。

目前，此漏洞细节及PoC已公开，此漏洞POC有效且稳定。鉴于此漏洞影响范围极大，建议客户尽快做好自查及防护。

漏洞信息

OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来保护安全通信，避免窃听，同时确认另一端连接者的身份，OpenSSL采用C语言作为主要开发语言，这使得OpenSSL具有优秀的跨平台性能，OpenSSL支持Linux、BSD、Windows、Mac、VMS等平台，这使其具有广泛的适用性。

漏洞编号

CVE-2022-0778

漏洞危害

攻击者可以通过构造具有无效显式曲线参数的证书来触发无限循环操作，由于证书解析发生在证书签名验证之前，因此任何解析外部提供的证书的过程都可能受到拒绝服务攻击。

漏洞等级

高危
受影响版本

OpenSSL版本1.0.2：1.0.2-1.0.2zc

OpenSSL版本1.1.2：1.1.1-1.1.1m

OpenSSL版本3.0：3.0.0、3.0.1

不受影响版本

OpenSSL == 1.0.2zd（仅限高级支持用户）

OpenSSL == 1.1.1n

OpenSSL == 3.0.2

其他受影响组件

Ubuntu、Debian、Redhat、CentOS、SUSE等平台均受影响。

修复方案

目前，OpenSSL官方已针对此漏洞发布修复版本，建议用户尽快升级至安全版本。

1.升级OpenSSL

OpenSSL 1.0.2 用户应升级到 1.0.2zd（仅限高级支持客户）

OpenSSL 1.1.1 用户应升级到 1.1.1n

OpenSSL 3.0 用户应升级到 3.0.2

注意：OpenSSL 1.1.0版本及OpenSSL 1.0.2版本已停服，高级支持用户需要更新请联系官方：https://www.openssl.org/support/contracts.html

2.其他主流平台升级

使用了OpenSSL的其他平台如Ubuntu、Debian、Redhat、CentOS、SUSE均受此漏洞影响，具体受影响的平台版本及修复建议请参考如下官方说明：

（1）Ubuntu

https://www.linux.org/threads/usn-5328-2-openssl-vulnerability.39606/

https://ubuntu.com/security/notices/USN-5328-1

（2）Debian

https://www.debian.org/security/2022/dsa-5103

（3）Redhat

https://access.redhat.com/security/cve/cve-2022-0778

（4）SUSE

https://www.suse.com/security/cve/CVE-2022-0778.html

参考链接

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0778