漏洞描述
OpenSSL 是一个开源的加密库,X.509 策略约束用于限制证书策略的使用范围,X.509 证书链是指由一个或多个数字证书构成的证书链,用于验证远程服务器或客户端的身份。
OpenSSL 受影响版本中验证包含策略约束的 X.509 证书链时存在拒绝服务漏洞,当用户通过在命令行中添加 -policy 参数或调用 X509_VERIFY_PARAM_set1_policies() 函数来启用 OpenSSL 的策略处理机制时,攻击者可通过创建恶意的 X.509 证书链利用此漏洞,该证书链会触发计算资源的指数使用并造成拒绝服务。用户可通过关闭 OpenSSL 的策略处理机制缓解此漏洞(默认关闭)。
| 漏洞名称 |
OpenSSL 验证 X.509 策略约束存在拒绝服务漏洞 |
| 漏洞类型 |
拒绝服务 |
| 发现时间 |
2023-03-23 |
| 漏洞影响广度 |
广 |
| MPS编号 |
MPS-2023-2810 |
| CVE编号 |
CVE-2023-0464 |
| CNVD编号 |
- |
影响范围
OpenSSL@[3.1, 3.1.1)
OpenSSL@[3.0, 3.0.9)
OpenSSL@[1.1.1, 1.1.1u)
OpenSSL@[1.0.2, 1.0.2zh)
修复方案
升级OpenSSL到 1.0.2zh 或 1.1.1u 或 3.0.9 或 3.1.1 或更高版本
参考链接
https://www.oscs1024.com/hd/MPS-2023-2810
https://nvd.nist.gov/vuln/detail/CVE-2023-0464
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=2017771e2db3e2b96f89bbe8766c3209f6a99545
https://www.openssl.org/news/secadv/20230322.txt
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
![]()
