组件介绍

在计算机网络上，OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包被广泛应用在互联网的网页服务器上。

漏洞描述

2022年3月16日， 深信服安全团队监测到一则OpenSSL组件存在拒绝服务漏洞的信息，漏洞编号：CVE-2022-0778，漏洞威胁等级：高危。

该漏洞是由于BN_mod_sqrt()函数在解析 X.509 证书时会触发无限循环，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行拒绝服务攻击，最终使服务器无法提供服务。

影响范围

目前受影响的OpenSSL版本：

Fixed in OpenSSL 3.0.2 (Affected 3.0.0,3.0.1)

Fixed in OpenSSL 1.1.1n (Affected 1.1.1-1.1.1m)

Fixed in OpenSSL 1.0.2zd (Affected 1.0.2-1.0.2zc)

官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。