时间:2022-03-17 作者:奇安信CERT
奇安信CERT
致力于第一时间为企业级用户提供安全风险通告和有效解决方案。
安全通告
近日,奇安信CERT监测到OpenSSL官方发布了安全更新,修复了OpenSSL拒绝服务漏洞(CVE-2022-0778),OpenSSL中的BN_mod_sqrt()函数包含一个致命错误,攻击者可以通过构造特定证书来触发无限循环,由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书场景都可能实现拒绝服务攻击。目前,此漏洞细节及PoC已公开,经奇安信CERT验证,此漏洞POC有效且稳定。鉴于此漏洞影响范围极大,建议客户尽快做好自查及防护。
漏洞信息
OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来保护安全通信,避免窃听,同时确认另一端连接者的身份,OpenSSL采用C语言作为主要开发语言,这使得OpenSSL具有优秀的跨平台性能,OpenSSL支持Linux、BSD、Windows、Mac、VMS等平台,这使其具有广泛的适用性。
近日,奇安信CERT监测到OpenSSL官方发布了安全更新,修复了OpenSSL拒绝服务漏洞(CVE-2022-0778),OpenSSL中的BN_mod_sqrt()函数包含一个致命错误,攻击者可以通过构造特定证书来触发无限循环,由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书场景都可能实现拒绝服务攻击。
任何使用了OpenSSL中的BN_mod_sqrt()函数的程序,在攻击者可以控制输入的前提下,均受此漏洞影响,易受攻击的场景包括:使用了服务器证书的TLS客户端,使用客户端证书的TLS服务器,从客户那里获取证书或私钥的托管服务提供商,认证机构解析来自订阅者的认证请求,以及任何存在解析ASN.1椭圆曲线参数的功能实现等。
目前,此漏洞细节及PoC已公开,经奇安信CERT验证,此漏洞POC有效且稳定。鉴于此漏洞影响范围极大,建议客户尽快做好自查及防护。
奇安信CERT已成功复现OpenSSL拒绝服务漏洞(CVE-2022-0778),复现截图如下:
威胁评估
处置建议
目前,OpenSSL官方已针对此漏洞发布修复版本,建议用户尽快升级至安安全版本。
1.升级OpenSSL
OpenSSL1.0.2用户应升级到1.0.2zd(仅限高级支持客户)
OpenSSL1.1.1用户应升级到1.1.1n
OpenSSL3.0用户应升级到3.0.2
注意:OpenSSL1.1.0版本及OpenSSL1.0.2版本已停服,高级支持用户需要更新请联系官方:https://www.openssl.org/support/contracts.html
2.其他主流平台升级
使用了OpenSSL的其他平台如Ubuntu、Debian、Redhat、CentOS、SUSE均受此漏洞影响,具体受影响的平台版本及修复建议请参考如下官方说明:
(1)Ubuntu
https://www.linux.org/threads/usn-5328-2-openssl-vulnerability.39606/
https://ubuntu.com/security/notices/USN-5328-1
(2)Debian
https://www.debian.org/security/2022/dsa-5103
(3)Redhat
https://access.redhat.com/security/cve/cve-2022-0778
(4)SUSE
https://www.suse.com/security/cve/CVE-2022-0778.html
产品解决方案
奇安信开源卫士已支持
奇安信开源卫士20220317.1010版本已支持对OpenSSL拒绝服务漏洞(CVE-2022-0778)的检测。
参考资料
[1]https://www.openssl.org/news/secadv/20220315.txt
[2]https://www.openssl.org/policies/secpolicy.html
[3]https://www.linux.org/threads/usn-5328-2-openssl-vulnerability.39606/
[4]https://ubuntu.com/security/notices/USN-5328-1
[5]https://www.debian.org/security/2022/dsa-5103
[6]https://access.redhat.com/security/cve/cve-2022-0778
[7]https://www.suse.com/security/cve/CVE-2022-0778.html
时间线
2022年3月17日,奇安信CERT发布安全风险通告
到奇安信NOX-安全监测平台查询更多漏洞详情
奇安信CERT长期招募安全研究员
95015服务热线
微信公众号