OpenSSL库曝新型无限循环安全漏洞，可使远程服务器崩溃

最新的网络安全研究发现，OpenSSL库曝出重大安全漏洞，OpenSSL库的维护者已经发布了补丁修复漏洞，该漏洞可以在解析证书时导致拒绝服务 (DoS) 攻击。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，该漏洞号为 CVE-2022-0778（CVSS 评分：7.5），该漏洞源于使用无效的显式椭圆曲线参数解析格式错误的证书，从而导致所谓的无限循环漏洞。该漏洞存在于一个名为 BN_mod_sqrt() 的函数中，该函数用于计算模平方根。

由于证书解析发生在证书签名验证之前，因此任何解析外部提供的证书的过程都可能受到拒绝服务攻击，在解析精心制作的私钥时也可以达到无限循环，因为它们可以包含显式的椭圆曲线参数。

虽然没有证据表明该漏洞已在野被利用，但在某些情况下它可能会被武器化，包括当 TLS 客户端或服务器从恶意服务器访问流氓证书时，或者当证书机构解析来自客户的认证请求时。

该漏洞影响 OpenSSL 的 1.0.2、1.1.1 和 3.0 版本，项目维护者通过发布针对付费客户的版本 1.0.2zd 以及 1.1.1n 和 3.0.2 修复了该漏洞。OpenSSL 1.1.0 虽然也受到影响，但由于该版本已不再维护，因此不会得到修复。

该漏洞 CVE-2022-0778 是自年初以来修复的第二个 OpenSSL 漏洞。2022 年 1 月 28 日，维护人员修复了一个影响库的 MIPS32 和 MIPS64 平方过程的中等严重性缺陷（CVE-2021-4160 ，CVSS 评分：5.9）。