OpenSSL 已发布安全更新以解决库中的漏洞,如果利用该漏洞,将激活无限循环功能并导致拒绝服务条件。
拒绝服务攻击可能不是最具灾难性的安全问题。但是,它仍然可能对受影响的人造成重大业务中断、长期财务影响和品牌声誉下降
对于像 OpenSSL 这样的软件来说尤其如此,这是一个被许多大型在线平台使用的无处不在的安全通信库。因此,任何影响图书馆的漏洞都会对 大量用户产生重大影响。
在这种情况下,高严重性 OpenSLL 问题在于 BN_mod_sqrt() 函数上的一个错误,如果提供一个恶意制作的证书进行解析,它将进入无限循环。
证书必须包含压缩形式的椭圆曲线公钥或带有以压缩形式编码的基点的椭圆曲线参数,以触发缺陷
“由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书的过程都可能受到拒绝服务攻击,”OpenSSL 的安全通知中描述道。
“在解析精心制作的私钥时也可以达到无限循环,因为它们可以包含明确的椭圆曲线参数。”
不幸的是,这个问题影响了相当多的部署场景,例如:
该漏洞被跟踪为CVE-2022-0778,影响 OpenSSL 版本 1.0.2 至 1.0.2zc、1.1.1 至 1.1.1n 和 3.0 至 3.0.1。
谷歌的安全研究员 Tavis Ormandy 发现了证书解析漏洞,并于 2022 年 2 月 24 日向 OpenSSL 团队报告了他的发现
昨天发布的修复版本是 1.1.1n 和 3.0.2,而只有 1.0.2 的高级用户将通过 1.0.2zd 获得修复
由于 1.0.2 版本在解析证书的过程中不解析公钥,因此无限循环的触发比其他版本稍微复杂一些,但还是可行的。
OpenSSL 1.0.2 已达到 EOL 且不积极支持,因此建议非高级用户尽快升级到新的发布分支。
尽管 OpenSSL 并未表示该漏洞已被威胁行为者使用,但意大利国家网络安全机构 CSIRT 已将其标记为在野外积极利用。
Bleeping Computer 已联系 OpenSSL 团队要求澄清这一点,他们告诉我们他们目前不知道有任何积极的利用。
即使这方面的信息混杂在一起,利用的低复杂性和已发布的信息也将允许威胁参与者在未来快速测试和利用漏洞。
OpenSSL 发言人与 Bleeping Computer 分享了以下声明:
该漏洞并不难利用,但影响仅限于 DoS。利用此漏洞成为问题的最常见情况是 TLS 客户端访问提供有问题证书的恶意服务器。如果 TLS 服务器使用客户端身份验证(这是一种不太常见的配置)并且恶意客户端尝试连接到它,则它们可能会受到影响。很难猜测这将在多大程度上转化为积极利用。
由于大多数用户从第三方获取 OpenSSL,因此没有集中的权限来计算升级统计信息,因此无法估计有多少易受攻击的部署。
免费试用尝鲜
贴心会员服务
服务可用性
数据安全保障
全年不间断在线
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号