监测发现,OpenSSL存在拒绝服务漏洞。该漏洞是由于证书解析时使用的 BN_mod_sqrt() 函数存在一个错误,它会导致在非质数的情况下永远循环。可通过生成包含无效的显式曲线参数的证书来触发无限循环。攻击者可利用该漏洞引起拒绝服务 (DoS) 攻击。
影响版本:
OpenSSL版本1.0.2:1.0.2-1.0.2zc
OpenSSL版本1.1.1:1.1.1-1.1.1m
OpenSSL版本 3.0:3.0.0、3.0.1
解决方案:
当前官方已发布最新版本,建议受影响的用户及时更新升级到对应版本。
OpenSSL 1.0.2 用户应升级至 1.0.2zd(仅限高级支持客户)
OpenSSL 1.1.1 用户应升级至 1.1.1n
OpenSSL 3.0 用户应升级至 3.0.2
