OpenSSL 項(xiàng)目組于 2022 年 3 月 15 日發(fā)布安全公告披露 CVE-2022-0778 號(hào)漏洞，該漏洞嚴(yán)重性為高，CVSS 評(píng)分 7.5 分/ 10 分。目前 OpenSSL 項(xiàng)目組已經(jīng)發(fā)布新版本修復(fù)漏洞，建議使用 OpenSSL 的用戶盡快升級(jí)到最新版本。

以下為版本升級(jí)信息：

此漏洞影響 OpenSSL 1.0.2、1.1.1 和 3.0 版，漏洞在 2022 年 3 月 15 日發(fā)布的 1.1.1n 和 3.0.2 版中得到修復(fù)。

OpenSSL 1.0.2 版用戶應(yīng)升級(jí)到 1.0.2zd 版（僅限高級(jí)支持客戶）、OpenSSL 1.1.1 版用戶應(yīng)升級(jí)到?1.1.1n?版、OpenSSL 3.0 版用戶應(yīng)升級(jí)到?3.0.2?版。其中 OpenSSL 1.0.2 版不再支持且不再接收公共安全更新，擴(kuò)展支持的用戶仍然可以獲得安全更新。OpenSSL 1.1.0 版不再支持且不再接收任何類型的更新，該版本受漏洞影響，請(qǐng)用戶及時(shí)切換到其他分支版本。

1.1.1n?版下載地址：https://www.openssl.org/source/openssl-1.1.1n.tar.gz

3.0.2?版下載地址：https://www.openssl.org/source/openssl-3.0.2.tar.gz

升級(jí)方法可參考此博客：https://blog.zhheo.com/p/87f1d743.html

以下為漏洞信息：

用于計(jì)算平方根的函數(shù) BN_mod_sqrt() 包含錯(cuò)誤，該錯(cuò)誤可能導(dǎo)致它對(duì)非素?cái)?shù)死循環(huán)。在內(nèi)部當(dāng)解析包含壓縮形式的橢圓曲線公鑰或帶有以壓縮形式編碼的基點(diǎn)的顯式橢圓曲線參數(shù)的證書時(shí)會(huì)使用此函數(shù)。

可以制作一個(gè)特定的證書來觸發(fā)無限循環(huán)，易受攻擊的情況包括：使用服務(wù)器證書的 TLS 客戶端、使用客戶端證書的 TLS 服務(wù)端、托管服務(wù)提供商從客戶那里獲得證書或私鑰、證書頒發(fā)機(jī)構(gòu)解析來自訂閱者的認(rèn)證請(qǐng)求、解析 ASN.1 橢圓曲線參數(shù)的任何其他內(nèi)容、引起拒絕服務(wù) (DoS) 攻擊。

詳情請(qǐng)查看 OpenSSL 安全公告：https://www.openssl.org/news/secadv/20220315.txt