近日,奇安信CERT监测到OpenSSL官方发布了安全更新,修复了OpenSSL拒绝服务漏洞(CVE-2022-0778),OpenSSL中的BN_mod_sqrt() 函数包含一个致命错误,攻击者可以通过构造特定证书来触发无限循环,由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书场景都可能实现拒绝服务攻击。目前,此漏洞细节及PoC已公开,经奇安信CERT验证,此漏洞POC有效且稳定。鉴于此漏洞影响范围极大,建议客户尽快做好自查及防护。
漏洞信息
OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来保护安全通信,避免窃听,同时确认另一端连接者的身份,OpenSSL采用C语言作为主要开发语言,这使得OpenSSL具有优秀的跨平台性能,OpenSSL支持Linux、BSD、Windows、Mac、VMS等平台,这使其具有广泛的适用性。
近日,奇安信CERT监测到OpenSSL官方发布了安全更新,修复了OpenSSL拒绝服务漏洞(CVE-2022-0778),OpenSSL中的BN_mod_sqrt() 函数包含一个致命错误,攻击者可以通过构造特定证书来触发无限循环,由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书场景都可能实现拒绝服务攻击。
任何使用了OpenSSL中的BN_mod_sqrt() 函数的程序,在攻击者可以控制输入的前提下,均受此漏洞影响,易受攻击的场景包括:使用了服务器证书的TLS客户端,使用客户端证书的 TLS 服务器,从客户那里获取证书或私钥的托管服务提供商,认证机构解析来自订阅者的认证请求,以及任何存在解析 ASN.1 椭圆曲线参数的功能实现等。
目前,此漏洞细节及PoC已公开,经奇安信CERT验证,此漏洞POC有效且稳定。鉴于此漏洞影响范围极大,建议客户尽快做好自查及防护。
|
漏洞名称 |
OpenSSL拒绝服务漏洞 |
||
|
公开时间 |
2022-03-15 |
更新时间 |
2022-03-17 |
|
CVE编号 |
CVE-2022-0778 |
其他编号 |
QVD-2022-1635 |
|
威胁类型 |
拒绝服务 |
技术类型 |
退出条件不可达的无限循环 |
|
厂商 |
OpenSSL |
产品 |
OpenSSL |
|
风险等级 |
|||
|
奇安信CERT风险评级 |
风险等级 |
||
|
高危 |
蓝色(一般事件) |
||
|
实时威胁状态 |
|||
|
POC状态 |
EXP状态 |
在野利用状态 |
技术细节状态 |
|
已公开 |
未发现 |
未发现 |
已公开 |
|
漏洞描述 |
OpenSSL存在拒绝服务漏洞(CVE-2022-0778),攻击者可以通过构造特定证书来触发无限循环,由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书场景都可能实现拒绝服务攻击。 |
||
|
影响版本 |
OpenSSL == 1.0.2 OpenSSL == 1.1.1 OpenSSL == 3.0 |
||
|
不受影响版本 |
OpenSSL == 1.0.2zd(仅限高级支持用户) OpenSSL == 1.1.1n OpenSSL == 3.0.2 |
||
|
其他受影响组件 |
Ubuntu、Debian、Redhat、CentOS、SUSE等平台均受影响。 |
奇安信CERT已成功复现OpenSSL拒绝服务漏洞(CVE-2022-0778),复现截图如下:
威胁评估
|
漏洞名称 |
OpenSSL拒绝服务漏洞 |
||
|
CVE编号 |
CVE-2022-0778 |
其他编号 |
QVD-2022-1635 |
|
CVSS 3.1评级 |
高危 |
CVSS 3.1分数 |
7.5 |
|
CVSS向量 |
访问途径(AV) |
攻击复杂度(AC) |
|
|
网络 |
低 |
||
|
用户认证(Au) |
用户交互 |
||
|
不需要 |
不需要 |
||
|
影响范围 |
机密性影响(C) |
||
|
不改变 |
无 |
||
|
完整性影响(I) |
可用性影响(A) |
||
|
无 |
高 |
||
|
危害描述 |
OpenSSL作为使用最广泛的加密库之一,预装于各个主流Linux发行版之中,如Ubuntu、Debian、Redhat、CentOS等平台,由于OpenSSL中的BN_mod_sqrt() 函数存在致命错误,攻击者可以通过构造特定证书来触发无限循环,任何使用了OpenSSL中的BN_mod_sqrt() 函数的程序,在攻击者可以控制输入的前提下,均受此漏洞影响。 |
处置建议
目前,OpenSSL官方已针对此漏洞发布修复版本,建议用户尽快升级至安安全版本。
1.升级OpenSSL
OpenSSL 1.0.2 用户应升级到 1.0.2zd(仅限高级支持客户)
OpenSSL 1.1.1 用户应升级到 1.1.1n
OpenSSL 3.0 用户应升级到 3.0.2
注意:OpenSSL 1.1.0版本及OpenSSL 1.0.2版本已停服,高级支持用户需要更新请联系官方:https://www.openssl.org/support/contracts.html
2.其他主流平台升级
使用了OpenSSL的其他平台如Ubuntu、Debian、Redhat、CentOS、SUSE均受此漏洞影响,具体受影响的平台版本及修复建议请参考如下官方说明:
(1)Ubuntu
https://www.linux.org/threads/usn-5328-2-openssl-vulnerability.39606/
https://ubuntu.com/security/notices/USN-5328-1
(2)Debian
https://www.debian.org/security/2022/dsa-5103
(3)Redhat
https://access.redhat.com/security/cve/cve-2022-0778
(4)SUSE
https://www.suse.com/security/cve/CVE-2022-0778.html
产品解决方案
奇安信开源卫士已支持
奇安信开源卫士 20220317.1010 版本已支持对OpenSSL 拒绝服务漏洞 (CVE-2022-0778)的检测。
参考资料
[1]https://www.openssl.org/news/secadv/20220315.txt
[2]https://www.openssl.org/policies/secpolicy.html
[3]https://www.linux.org/threads/usn-5328-2-openssl-vulnerability.39606/
[4]https://ubuntu.com/security/notices/USN-5328-1
[5]https://www.debian.org/security/2022/dsa-5103
[6]https://access.redhat.com/security/cve/cve-2022-0778
[7]https://www.suse.com/security/cve/CVE-2022-0778.html
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。