网站首页 > 编程文章 正文
1、漏洞概述
近日,WebRAY安全服务产品线监测到一则OpenSSL组件存在拒绝服务漏洞的信息(CVE-2022-0778)。该漏洞是由于证书解析时使用的BN_mod_sqrt()函数包含一个致命错误,它会导致在非质数的情况下无限循环,并且可通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的,因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。
另外,当解析特制的私钥时(包含显式椭圆曲线参数),也可以触发无限循环。其他使用BN_mod_sqrt()的应用程序,如果可以控制参数值,也会受到此漏洞影响。鉴于该漏洞影响较大且漏洞poc已公开。WebRAY安全服务产品线建议用户尽快自查并做好升级工作。
WebRAY安全服务产品线将持续关注该漏洞进展,并将第一时间为您更新该漏洞信息。
2、影响范围
漏洞编号 | 影响版本 | 安全版本 |
CVE-2022-0778 | OpenSSL == 1.0.2 OpenSSL == 1.1.1 OpenSSL == 3.0 | OpenSSL == 1.0.2zd(仅限高级支持用户) OpenSSL == 1.1.1n OpenSSL == 3.0.2 |
3、漏洞等级
WebRAY安全服务产品线风险评级:高危
4、修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到对应版本。
OpenSSL1.0.2 用户应升级至1.0.2zd(仅限高级支持客户)
OpenSSL1.1.1 用户应升级至 1.1.1n
OpenSSL3.0 用户应升级至 3.0.2
下载链接如下:
https://www.openssl.org/source/
猜你喜欢
- 2024-10-19 基于openssl 实现https服务(基于openssl+实现https服务体系)
- 2024-10-19 Centos openssl 升级方法(centos6.9升级openssh)
- 2024-10-19 OpenSSL神器大揭秘:加密、签名、验证一步搞定!
- 2024-10-19 Openssh8.0升级(openssh8.6p1 升级)
- 2024-10-19 windows使用openssl生成公钥和私钥
- 2024-10-19 Linux服务器运维必备技能 软件包和启动项超详细整理
- 2024-10-19 「应用安全」支持github算法限制,升级git客户端为TSL1.2协议
- 2024-10-19 CentOS 7 升级 openssl(centos7.6升级openssh)
- 2024-10-19 CentOS7下rpm包方式升级openssl到安全版本1.1.1n
- 2024-10-19 源码升级openssl3.2和openssh9.5(openssh软件源)
欢迎 你 发表评论:
- 05-142014年最流行前端开发框架对比评测
- 05-14七爪源码:如何使用 Next.js 构建 Shopify 店面
- 05-14Web 前端怎样入门?
- 05-14我为什么不建议你使用框架
- 05-14推荐几个好用的React UI 框架
- 05-14PDFsharp:强大的 .NET 跨平台 PDF 处理库
- 05-14一组开源免费的Web动画图标,荐给需要的设计师和程序员
- 05-14salesforce 零基础学习(二十九)Record Types简单介绍
- 最近发表
- 标签列表
-
- spire.doc (59)
- system.data.oracleclient (61)
- 按键小精灵源码提取 (66)
- pyqt5designer教程 (65)
- 联想刷bios工具 (66)
- c#源码 (64)
- graphics.h头文件 (62)
- mysqldump下载 (66)
- sqljdbc4.jar下载 (56)
- libmp3lame (60)
- maven3.3.9 (63)
- 二调符号库 (57)
- 苹果ios字体下载 (56)
- git.exe下载 (68)
- diskgenius_winpe (72)
- pythoncrc16 (57)
- solidworks宏文件下载 (59)
- qt帮助文档中文版 (73)
- satacontroller (66)
- hgcad (64)
- bootimg.exe (69)
- android-gif-drawable (62)
- axure9元件库免费下载 (57)
- libmysqlclient.so.18 (58)
- springbootdemo (64)
本文暂时没有评论,来添加一个吧(●'◡'●)