股票简称:奇安信 股票代码:688561
如何购买 7*24小时应急响应
奇安信 95015
立即拨打95015
首页 > 企业动态 > > 【安全风险通告】OpenSSL拒绝服务漏洞安全风险通告

【安全风险通告】OpenSSL拒绝服务漏洞安全风险通告

时间:2022-03-17 作者:奇安信CERT

分享到:

【安全风险通告】OpenSSL拒绝服务漏洞安全风险通告

    奇安信CERT

    致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

    安全通告

    近日,奇安信CERT监测到OpenSSL官方发布了安全更新,修复了OpenSSL拒绝服务漏洞(CVE-2022-0778),OpenSSL中的BN_mod_sqrt()函数包含一个致命错误,攻击者可以通过构造特定证书来触发无限循环,由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书场景都可能实现拒绝服务攻击。目前,此漏洞细节及PoC已公开,经奇安信CERT验证,此漏洞POC有效且稳定。鉴于此漏洞影响范围极大,建议客户尽快做好自查及防护。

    漏洞信息

    OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来保护安全通信,避免窃听,同时确认另一端连接者的身份,OpenSSL采用C语言作为主要开发语言,这使得OpenSSL具有优秀的跨平台性能,OpenSSL支持Linux、BSD、Windows、Mac、VMS等平台,这使其具有广泛的适用性。

    近日,奇安信CERT监测到OpenSSL官方发布了安全更新,修复了OpenSSL拒绝服务漏洞(CVE-2022-0778),OpenSSL中的BN_mod_sqrt()函数包含一个致命错误,攻击者可以通过构造特定证书来触发无限循环,由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书场景都可能实现拒绝服务攻击。

    任何使用了OpenSSL中的BN_mod_sqrt()函数的程序,在攻击者可以控制输入的前提下,均受此漏洞影响,易受攻击的场景包括:使用了服务器证书的TLS客户端,使用客户端证书的TLS服务器,从客户那里获取证书或私钥的托管服务提供商,认证机构解析来自订阅者的认证请求,以及任何存在解析ASN.1椭圆曲线参数的功能实现等。

    目前,此漏洞细节及PoC已公开,经奇安信CERT验证,此漏洞POC有效且稳定。鉴于此漏洞影响范围极大,建议客户尽快做好自查及防护。

    奇安信CERT已成功复现OpenSSL拒绝服务漏洞(CVE-2022-0778),复现截图如下:

【安全风险通告】OpenSSL拒绝服务漏洞安全风险通告

    威胁评估

    处置建议

    目前,OpenSSL官方已针对此漏洞发布修复版本,建议用户尽快升级至安安全版本。

    1.升级OpenSSL

    OpenSSL1.0.2用户应升级到1.0.2zd(仅限高级支持客户)

    OpenSSL1.1.1用户应升级到1.1.1n

    OpenSSL3.0用户应升级到3.0.2

    注意:OpenSSL1.1.0版本及OpenSSL1.0.2版本已停服,高级支持用户需要更新请联系官方:https://www.openssl.org/support/contracts.html

    2.其他主流平台升级

    使用了OpenSSL的其他平台如Ubuntu、Debian、Redhat、CentOS、SUSE均受此漏洞影响,具体受影响的平台版本及修复建议请参考如下官方说明:

    (1)Ubuntu

    https://www.linux.org/threads/usn-5328-2-openssl-vulnerability.39606/

    https://ubuntu.com/security/notices/USN-5328-1

    (2)Debian

    https://www.debian.org/security/2022/dsa-5103

    (3)Redhat

    https://access.redhat.com/security/cve/cve-2022-0778

    (4)SUSE

    https://www.suse.com/security/cve/CVE-2022-0778.html

    产品解决方案

    奇安信开源卫士已支持

    奇安信开源卫士20220317.1010版本已支持对OpenSSL拒绝服务漏洞(CVE-2022-0778)的检测。

    参考资料

    [1]https://www.openssl.org/news/secadv/20220315.txt

    [2]https://www.openssl.org/policies/secpolicy.html

    [3]https://www.linux.org/threads/usn-5328-2-openssl-vulnerability.39606/

    [4]https://ubuntu.com/security/notices/USN-5328-1

    [5]https://www.debian.org/security/2022/dsa-5103

    [6]https://access.redhat.com/security/cve/cve-2022-0778

    [7]https://www.suse.com/security/cve/CVE-2022-0778.html

    时间线

    2022年3月17日,奇安信CERT发布安全风险通告

【安全风险通告】OpenSSL拒绝服务漏洞安全风险通告

    到奇安信NOX-安全监测平台查询更多漏洞详情

【安全风险通告】OpenSSL拒绝服务漏洞安全风险通告

    奇安信CERT长期招募安全研究员

相关产品

相关新闻

奇安信 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

奇安信 在线客服 奇安信 95015

您对奇安信的任何疑问可用以下方式告诉我们

将您对奇安信的任何疑问

用以下方式告诉我们

联系客服 提交信息 网络安全服务热线:95015