OpenSSL库曝新型无限循环安全漏洞,可使远程服务器崩溃

OpenSSL中的新无限循环错误可能让攻击者崩溃远程服务器

最新的网络安全研究发现,OpenSSL库曝出重大安全漏洞,OpenSSL库的维护者已经发布了补丁修复漏洞,该漏洞可以在解析证书时导致拒绝服务 (DoS) 攻击。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,该漏洞号为 CVE-2022-0778(CVSS 评分:7.5),该漏洞源于使用无效的显式椭圆曲线参数解析格式错误的证书,从而导致所谓的无限循环漏洞。该漏洞存在于一个名为 BN_mod_sqrt() 的函数中,该函数用于计算模平方根。

由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书的过程都可能受到拒绝服务攻击,在解析精心制作的私钥时也可以达到无限循环,因为它们可以包含显式的椭圆曲线参数。

虽然没有证据表明该漏洞已在野被利用,但在某些情况下它可能会被武器化,包括当 TLS 客户端或服务器从恶意服务器访问流氓证书时,或者当证书机构解析来自客户的认证请求时。

该漏洞影响 OpenSSL 的 1.0.2、1.1.1 和 3.0 版本,项目维护者通过发布针对付费客户的版本 1.0.2zd 以及 1.1.1n 和 3.0.2 修复了该漏洞。OpenSSL 1.1.0 虽然也受到影响,但由于该版本已不再维护,因此不会得到修复。

该漏洞 CVE-2022-0778 是自年初以来修复的第二个 OpenSSL 漏洞。2022 年 1 月 28 日,维护人员修复了一个影响库的 MIPS32 和 MIPS64 平方过程的中等严重性缺陷(CVE-2021-4160 ,CVSS 评分:5.9)。

 

OpenSSL库曝新型无限循环安全漏洞,可使远程服务器崩溃

极牛网精选文章《OpenSSL库曝新型无限循环安全漏洞,可使远程服务器崩溃》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/18570.html

(25)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2022年3月15日 上午11:15
下一篇 2022年3月16日 上午11:41

相关推荐

发表评论

登录后才能评论