按 Enter 到主內容區
:::

TWCERT-電子報

:::

OpenSSL修補高嚴重性的憑證解析漏洞,建議用戶立即進行更新

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-03-17
  • 點閱次數:602
OpenSSL修補高嚴重性的憑證解析漏洞,建議用戶立即進行更新 TWCERT/CC

CVE編號

CVE-2022-0778

內文

OpenSSL於2022年3月15日發布安全公告,宣布修補了與憑證解析有相關的嚴重阻斷服務攻擊(Denial of Service, DoS)資安漏洞,建議用戶立即進行更新。

該漏洞的編號為CVE-2022-0778,由Google的研究人員Tavis Ormandy提報給OpenSSL。據OpenSSL官方公告,由於解析憑證時用到的BN_mod_sqrt()函數存在一個問題,在某些情況下駭客可以製作惡意憑證,利用該漏洞使目標系統無法提供服務。

OpenSSL 版本為1.0.2、1.1.1及3.0的用戶會受到該漏洞影響,建議用戶立即更新至版本1.0.2zd、1.1.1n及3.0.2,以免遭到駭客利用此漏洞進行攻擊而造成損失。

影響產品

OpenSSL 1.0.2、1.1.1及3.0版本。

解決辦法

OpenSSL 1.0.2 用戶應升級到 1.0.2zd版本、OpenSSL 1.1.1 用戶應升級到 1.1.1n版本、OpenSSL 3.0 用戶應升級到 3.0.2版本。
回頁首