最新的網絡安全研究發現,OpenSSL庫曝出重大安全漏洞,OpenSSL庫的維護者已經發布了補丁修複漏洞,該漏洞可以在解析證書時導緻拒絕服務 (DoS) 攻擊。
根據網絡安全行業門戶「極牛網」GEEKNB.COM的梳理,該漏洞号為 CVE-2022-0778(CVSS 評分:7.5),該漏洞源于使用無效的顯式橢圓曲線參數解析格式錯誤的證書,從而導緻所謂的無限循環漏洞。該漏洞存在于一個名為 BN_mod_sqrt() 的函數中,該函數用于計算模平方根。
由于證書解析發生在證書簽名驗證之前,因此任何解析外部提供的證書的過程都可能受到拒絕服務攻擊,在解析精心制作的私鑰時也可以達到無限循環,因為它們可以包含顯式的橢圓曲線參數。
雖然沒有證據表明該漏洞已在野被利用,但在某些情況下它可能會被武器化,包括當 TLS 客戶端或服務器從惡意服務器訪問流氓證書時,或者當證書機構解析來自客戶的認證請求時。
該漏洞影響 OpenSSL 的 1.0.2、1.1.1 和 3.0 版本,項目維護者通過發布針對付費客戶的版本 1.0.2zd 以及 1.1.1n 和 3.0.2 修複了該漏洞。OpenSSL 1.1.0 雖然也受到影響,但由于該版本已不再維護,因此不會得到修複。
該漏洞 CVE-2022-0778 是自年初以來修複的第二個 OpenSSL 漏洞。2022 年 1 月 28 日,維護人員修複了一個影響庫的 MIPS32 和 MIPS64 平方過程的中等嚴重性缺陷(CVE-2021-4160 ,CVSS 評分:5.9)。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
