最新的网络安全研究发现,OpenSSL库曝出重大安全漏洞,OpenSSL库的维护者已经发布了补丁修复漏洞,该漏洞可以在解析证书时导致拒绝服务 (DoS) 攻击。
根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,该漏洞号为 CVE-2022-0778(CVSS 评分:7.5),该漏洞源于使用无效的显式椭圆曲线参数解析格式错误的证书,从而导致所谓的无限循环漏洞。该漏洞存在于一个名为 BN_mod_sqrt() 的函数中,该函数用于计算模平方根。
由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书的过程都可能受到拒绝服务攻击,在解析精心制作的私钥时也可以达到无限循环,因为它们可以包含显式的椭圆曲线参数。
虽然没有证据表明该漏洞已在野被利用,但在某些情况下它可能会被武器化,包括当 TLS 客户端或服务器从恶意服务器访问流氓证书时,或者当证书机构解析来自客户的认证请求时。
该漏洞影响 OpenSSL 的 1.0.2、1.1.1 和 3.0 版本,项目维护者通过发布针对付费客户的版本 1.0.2zd 以及 1.1.1n 和 3.0.2 修复了该漏洞。OpenSSL 1.1.0 虽然也受到影响,但由于该版本已不再维护,因此不会得到修复。
该漏洞 CVE-2022-0778 是自年初以来修复的第二个 OpenSSL 漏洞。2022 年 1 月 28 日,维护人员修复了一个影响库的 MIPS32 和 MIPS64 平方过程的中等严重性缺陷(CVE-2021-4160 ,CVSS 评分:5.9)。
,
