OpenSSL拒绝服务漏洞(CVE-2022-0778)&&OpenSSL跨大版本升级
OpenSSL拒绝服务漏洞(CVE-2022-0778)&&OpenSSL跨大版本升级
【漏洞通告】OpenSSL拒绝服务漏洞(CVE-2022-0778)
一、漏洞描述
漏洞综述(发布时间 2022-03-15)
|
CVE ID |
CVE-2022-0778 |
时 间 |
2022-03-15 |
|
类 型 |
Dos |
等 级 |
高危 |
01 漏洞详情
3月15日,OpenSSL官方发布安全公告,修复了OpenSSL 版本 1.0.2、1.1.1 和 3.0中的拒绝服务漏洞(CVE-2022-0778)。
由于证书解析时使用的 BN_mod_sqrt() 函数存在一个错误,它会导致在非质数的情况下永远循环。可通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的,因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。此外,当解析特制的私钥时(包含显式椭圆曲线参数),也可以触发无限循环。
因此易受攻击的情况如下:
-
使用服务器证书的 TLS 客户端
-
使用客户端证书的 TLS 服务器
-
托管服务提供商从客户处获取证书或私钥
-
证书颁发机构解析来自订阅者的认证请求
-
任何其他解析ASN.1椭圆曲线参数的程序
此外,任何使用BN_mod_sqrt()的其他应用程序,如果可以控制参数值,也会受到此漏洞影响。需要注意的是,任何需要证书中公钥的操作都会触发无限循环,特别是自签名的证书,在验证证书签名时会触发循环。
影响范围
OpenSSL版本1.0.2:1.0.2-1.0.2zc
OpenSSL版本1.1.1:1.1.1-1.1.1m
OpenSSL版本 3.0:3.0.0、3.0.1
02 安全建议
目前此漏洞已经修复,建议受影响用户及时升级更新:
OpenSSL 1.0.2 用户应升级至 1.0.2zd(已停止支持)
OpenSSL 1.1.1 用户应升级至 1.1.1n
OpenSSL 3.0 用户应升级至 3.0.2
下载链接:
https://www.openssl.org/source/
ps:OpenSSL 1.0.2 和OpenSSL 1.1.0 已停止支持(所以1.0.2系列请升级到1.1.1n,本人1.0.2k与1.0.2zc—>3.0.2升级均失败)!
03 参考链接
https://www.openssl.org/news/secadv/20220315.txt
04 版本信息
|
版本 |
日期 |
修改内容 |
|
V1.0 |
2022-03-16 |
首次发布 |
二、漏洞升级01 查看openssl版本
openssl version02 下载指定版本的openssl软件并安装
OpenSSL官网地址:https://www.openssl.org/source/
这里下载 openssl-1.1.1n 版本
https://www.openssl.org/source/openssl-1.1.1n.tar.gz
tar zxvf openssl-1.1.1n.tar.gz
cd openssl-1.1.1n
./config --prefix=/usr/local/openssl
make && make install
mv /usr/bin/openssl /usr/bin/openssl.old
mv /usr/include/openssl /usr/include/openssl.old
ln -s /usr/local/openssl/bin/openssl/usr /bin/openssl
ln -s /usr/local/openssl/include/openssl /usr/include/openssl
echo "/usr/local/openssl/lib">>/etc/ld.so.conf
ldconfig -v
openssl version -a
ps:重启主机ssh连接正常!
【微语】
所有的好事发生之前,一定会有糟糕的经历先来折磨你。没有山穷水尽,哪来柳暗花明,没有万念俱灰,哪来绝处逢生。
点分享
点收藏
点点赞
点在看
-
䶮置顶明天试试,谢谢博主
![[玫瑰]](https://res.wx.qq.com/mpres/zh_CN/htmledition/comm_htmledition/images/pic/common/pic_blank.gif)
Console(作者)
