OpenSSL於2022年3月15日發布安全公告,宣布修補了與憑證解析有相關的嚴重阻斷服務攻擊(Denial of Service, DoS)資安漏洞,建議用戶立即進行更新。
該漏洞的編號為CVE-2022-0778,由Google的研究人員Tavis Ormandy提報給OpenSSL。據OpenSSL官方公告,由於解析憑證時用到的BN_mod_sqrt()函數存在一個問題,在某些情況下駭客可以製作惡意憑證,利用該漏洞使目標系統無法提供服務。
OpenSSL 版本為1.0.2、1.1.1及3.0的用戶會受到該漏洞影響,建議用戶立即更新至版本1.0.2zd、1.1.1n及3.0.2,以免遭到駭客利用此漏洞進行攻擊而造成損失。
- CVE編號:CVE-2022-0778
- 影響產品:OpenSSL 1.0.2、1.1.1及3.0版本。
- 解決方案:
- OpenSSL 1.0.2 用戶應升級到 1.0.2zd版本。
- OpenSSL 1.1.1 用戶應升級到 1.1.1n版本。
- OpenSSL 3.0 用戶應升級到 3.0.2版本。
本文轉載自TWCERT/CC。