關于OpenSSL拒絕服務漏洞（CVE-2022-0778）的安全通告

近期，接有關安全組織和安全廠商漏洞通報，OpenSSL官方發布安全更新公告，其中包含一個高危漏洞（CVE-2022-0778），具有較高安全風險，建議師生用戶及時更新OpenSSL到最新的安全版本，避免遭受攻擊和發生安全事件。漏洞介紹和處置方法如下：

漏洞綜述

1）漏洞背景

OpenSSL是一個開放源代碼的安全套接字層密碼庫包，囊括主要的密碼算法、常用密鑰、證書封裝管理功能及實現SSL協議。應用程序可以使用這個包來進行安全通信，避免竊聽，同時確認另一端連接者的身份。這個包廣泛被應用在互聯網的網頁及應用服務器上。

2）漏洞原理

該漏洞是由于OpenSSL庫中BN_mod_sqrt()函數存在一個錯誤，導致其在非質數的情況下無限循環。當解析包含壓縮形式的橢圓曲線公鑰或者帶有顯式橢圓曲線參數的證書時，會使用到BN_mod_sqrt()函數。攻擊者可以通過構造具有無效顯式曲線參數的證書來觸發無限循環操作，由于證書解析發生在證書簽名驗證之前，因此任何解析外部提供的證書的過程都可能受到拒絕服務攻擊。

影響范圍

OpenSSL版本1.0.2：1.0.2-1.0.2zc

OpenSSL版本1.1.2：1.1.1-1.1.1m

OpenSSL版本3.0：3.0.0、3.0.1

處置方法：升級OpenSSL官方補丁

查看系統版本是否在受影響版本內命令：openssl version

OpenSSL官方已經在新版本中修復該漏洞，請升級至OpenSSL的安全版本：

下載鏈接：https://www.openssl.org/source

信息來源：沈陽網絡安全協會、深信服千里目安全實驗室