攻击者可以通过使用无效的显式曲线参数制作格式错误的证书来触发漏洞。
“计算模平方根的 BN_mod_sqrt() 函数包含一个错误,该错误可能导致它对于非素数模数永远循环。在内部,当解析包含压缩形式的椭圆曲线公钥或带有以压缩形式编码的基点的显式椭圆曲线参数的证书时,会使用此函数。” 阅读此缺陷的公告。“可以通过制作具有无效显式曲线参数的证书来触发无限循环。”
该漏洞影响 OpenSSL 版本 1.0.2、1.1.1 和 3.0,该项目的维护者通过发布版本 1.0.2zd(针对高级支持客户)、1.1.1n 和 3.0.2 解决了该漏洞。
该漏洞也会影响 OpenSSL 1.1.0,但它已不受支持且不再接收更新。
此漏洞的修复程序由 Google 的 David Benjamin 和 OpenSSL 的 Tomáš Mráz 开发。
免费试用尝鲜
贴心会员服务
服务可用性
数据安全保障
全年不间断在线
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号