当前位置: 首页 > 最新文章 > 正文

防火墙open ssl漏洞(ssl漏洞利用)

最新的网络安全研究发现,OpenSSL库曝出重大安全漏洞,OpenSSL库的维护者已经发布了补丁修复漏洞,该漏洞可以在解析证书时导致拒绝服务 攻击。根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,该漏洞号为 CVE-2022-0778,该漏洞源于使用无效的显式椭圆曲线参数解析格式错误的证书,从而导致所谓的无限循环漏洞。该漏洞存在于一个名为 BN_mod_sqrt() 的函数中,该函数用

admin

最新的网络安全研究发现,OpenSSL库曝出重大安全漏洞,OpenSSL库的维护者已经发布了补丁修复漏洞,该漏洞可以在解析证书时导致拒绝服务 攻击。根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,该漏洞号为 CVE-2022-0778,该漏洞源于使用无效的显式椭圆曲线参数解析格式错误的证书,从而导致所谓的无限循环漏洞。该漏洞存在于一个名为 BN_mod_sqrt() 的函数中,该函数用于计算模平方根。该漏洞影响 OpenSSL 的 1.0.2、1.1.1 和 3.0 版本,项目维护者通过发布针对付费客户的版本 1.0.2zd 以及 1.1.1n 和 3.0.2 修复了该漏洞。OpenSSL 1.1.0 虽然也受到影响,但由于该版本已不再维护,因此不会得到修复。该漏洞 CVE-2022-0778 是自年初以来修复的第二个 OpenSSL 漏洞。

最新的网络安全研究发现,OpenSSL库曝出重大安全漏洞,OpenSSL库的维护者已经发布了补丁修复漏洞,该漏洞可以在解析证书时导致拒绝服务 (DoS) 攻击。

OpenSSL库曝新型无限循环安全漏洞,可使远程服务器崩溃

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,该漏洞号为 CVE-2022-0778(CVSS 评分:7.5),该漏洞源于使用无效的显式椭圆曲线参数解析格式错误的证书,从而导致所谓的无限循环漏洞。该漏洞存在于一个名为 BN_mod_sqrt() 的函数中,该函数用于计算模平方根。

由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书的过程都可能受到拒绝服务攻击,在解析精心制作的私钥时也可以达到无限循环,因为它们可以包含显式的椭圆曲线参数。

虽然没有证据表明该漏洞已在野被利用,但在某些情况下它可能会被武器化,包括当 TLS 客户端或服务器从恶意服务器访问流氓证书时,或者当证书机构解析来自客户的认证请求时。

该漏洞影响 OpenSSL 的 1.0.2、1.1.1 和 3.0 版本,项目维护者通过发布针对付费客户的版本 1.0.2zd 以及 1.1.1n 和 3.0.2 修复了该漏洞。OpenSSL 1.1.0 虽然也受到影响,但由于该版本已不再维护,因此不会得到修复。

该漏洞 CVE-2022-0778 是自年初以来修复的第二个 OpenSSL 漏洞。2022 年 1 月 28 日,维护人员修复了一个影响库的 MIPS32 和 MIPS64 平方过程的中等严重性缺陷(CVE-2021-4160 ,CVSS 评分:5.9)。


上一篇: 浅析国外VR的军事应用:美军走在技术最前沿,训练水平相当之高 下一篇:Android直播推流(安卓推流直播)
返回顶部