漏洞描述

近 日 ， 监 测 到 一则 OpenSSL 官 方 发布 了 安 全更 新 ， 修复 了 OpenSSL 拒 绝 服务 漏 洞（CVE-2022-0778） ，攻击者可以通过构造特定证书来触发无限循环， 由于证书解析发生在证书签名验证之前， 因此任何解析外部提供的证书场景都可能实现拒绝服务攻击。 

易受攻击的场景包括： 使用了服务器证书的 TLS客户端， 使用客户端证书的 TLS 服务器， 从客户那里获取证书或私钥的托管服务提供商，认证机构解析来自订阅者的认证请求， 以及任何存在解析 ASN.1 椭圆曲线参数的功能实现等。

目前， 此漏洞细节及 PoC 已公开， 此漏洞 POC 有效且稳定。 鉴于此漏洞影响范围极大， 建议尽快做好自查及防护。

漏洞信息

OpenSSL 是一个开放源代码的软件库包， 应用程序可以使用这个包来保护安全通信， 避免窃听， 同时确认另一端连接者的身份，OpenSSL 采用 C 语言作为主要开发语言， 这使得 OpenSSL具有优秀的跨平台性能， OpenSSL 支持 Linux、 BSD、 Windows、 Mac、 VMS 等平台， 这使其具有广泛的适用性。

漏洞编号

CVE-2022-0778

漏洞危害

攻击者可以通过构造具有无效显式曲线参数的证书来触发无限循环操作。

漏洞等级

高危

受影响版本

OpenSSL 版本 1.0.2： 1.0.2-1.0.2zc

OpenSSL 版本 1.1.2： 1.1.1-1.1.1m

OpenSSL 版本 3.0： 3.0.0、 3.0.1

不受影响版本

OpenSSL ="=" 1.0.2zd（仅限高级支持用户）

OpenSSL ="=" 1.1.1n

OpenSSL ="=" 3.0.2

其他受影响组件

Ubuntu、 Debian、 Redhat、 CentOS、 SUSE 等平台均受影响。

修复方案

目前， OpenSSL 官方已针对此漏洞发布修复版本， 建议用户尽快升级至安全版本。

1.升级 OpenSSL

OpenSSL 1.0.2 用户应升级到 1.0.2zd（仅限高级支持客户）

OpenSSL 1.1.1 用户应升级到 1.1.1n

OpenSSL 3.0 用户应升级到 3.0.2

注意： OpenSSL 1.1.0 版本及 OpenSSL 1.0.2 版本已停服， 高级支持用户需要更新请联系官方

2.其他主流平台升级

使用了 OpenSSL 的其他平台如 Ubuntu、 Debian、 Redhat、 CentOS、 SUSE 均受此漏洞影响，具体受影响的平台版本及修复建议请参考官方说明。