OpenSSL 验证 X.509 策略约束存在拒绝服务漏洞

漏洞描述

OpenSSL 是一个开源的加密库，X.509 策略约束用于限制证书策略的使用范围，X.509 证书链是指由一个或多个数字证书构成的证书链，用于验证远程服务器或客户端的身份。

OpenSSL 受影响版本中验证包含策略约束的 X.509 证书链时存在拒绝服务漏洞，当用户通过在命令行中添加 -policy 参数或调用 X509_VERIFY_PARAM_set1_policies() 函数来启用 OpenSSL 的策略处理机制时，攻击者可通过创建恶意的 X.509 证书链利用此漏洞，该证书链会触发计算资源的指数使用并造成拒绝服务。用户可通过关闭 OpenSSL 的策略处理机制缓解此漏洞(默认关闭)。

漏洞名称	OpenSSL 验证 X.509 策略约束存在拒绝服务漏洞
漏洞类型	拒绝服务
发现时间	2023-03-23
漏洞影响广度	广
MPS编号	MPS-2023-2810
CVE编号	CVE-2023-0464
CNVD编号	-

影响范围

OpenSSL@[3.1, 3.1.1)

OpenSSL@[3.0, 3.0.9)

OpenSSL@[1.1.1, 1.1.1u)

OpenSSL@[1.0.2, 1.0.2zh)

修复方案

升级OpenSSL到 1.0.2zh 或 1.1.1u 或 3.0.9 或 3.1.1 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2023-2810

https://nvd.nist.gov/vuln/detail/CVE-2023-0464

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=2017771e2db3e2b96f89bbe8766c3209f6a99545

https://www.openssl.org/news/secadv/20230322.txt

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc