OpenSSL中新的无限循环漏洞可能会让攻击者使远程服务器崩溃

OpenSSL的维护者已经发布了补丁，以解决其软件库中的一个高严重性安全漏洞，该漏洞在解析证书时可能导致拒绝服务（DoS）情况。

该问题被追踪为CVE-2022-0778（CVSS分数：7.5），源于解析带有无效显式椭圆曲线参数的格式错误的证书，导致所谓的“无限循环”该漏洞存在于一个名为BN_mod_sqrt（）的函数中，该函数用于计算模平方根。

"Since certificate parsing happens prior to verification of the certificate signature, any process that parses an externally supplied certificate may thus be subject to a denial-of-service attack," OpenSSL said in an advisory published on March 15, 2022.

“在解析特制的私钥时，也可以到达无限循环，因为它们可以包含显式的椭圆曲线参数。”

虽然没有证据表明该漏洞已在野外被利用，但也有一些情况可以将其武器化，包括TLS客户端（或服务器）从恶意服务器（或客户端）访问恶意证书，或证书颁发机构解析来自订阅者的证书请求。

该漏洞影响OpenSSL版本1.0.2、1.1.1和3.0，项目所有者通过发布版本1.0.2zd（针对高级支持客户）、1.1.1n和3.0.2解决了该漏洞。OpenSSL 1.1.0虽然也受到影响，但由于已达到使用寿命的终点，将不会收到修复。

谷歌项目零安全研究员塔维斯·奥曼迪于2022年2月24日报告了该漏洞。该补丁由谷歌的大卫·本杰明和OpenSSL的汤姆·亚什·马雷斯开发。

CVE-2022-0778也是自今年年初以来解决的第二个OpenSSL漏洞。2022年1月28日，维修人员修复了一个影响图书馆MIPS32和MIPS64平方程序的中等严重缺陷（CVE-2021-4160，CVSS分数：5.9）。