OpenSSL 作为全球广泛使用的开源加密库，为 Web 服务器、应用程序等提供 SSL/TLS 安全通信支持，其安全稳定性直接影响各类网络服务的正常运行。近期，多款 OpenSSL 版本被披露存在高危拒绝服务（DoS）漏洞，包括 CVE-2022-0778、CVE-2020-1967、CVE-2016-8610（SSL Death Alert）等，攻击者可通过构造恶意请求触发漏洞，导致目标服务 CPU 占用率 100%、进程崩溃或无限循环，最终造成服务瘫痪，对业务连续性构成严重威胁。为保障系统安全，现发布本应急通告。

　　一、漏洞核心信息

　（一）关键漏洞危害

　　1. CVE-2022-0778：BN_mod_sqrt() 函数解析错误，攻击者通过构造含无效椭圆曲线参数的证书，可触发无限循环，导致服务不可用，CVSS 评分 7.5。

　　2. CVE-2020-1967：TLS 1.3 握手过程中对特定扩展处理不当，恶意对等方发送特制负载可导致 NULL 指针解引用，引发服务崩溃。

　　3. CVE-2016-8610：SSL/TLS 握手时处理无效警告包或超长会话 ID 存在缺陷，攻击者重复发送恶意请求可使进程陷入死循环，耗尽系统资源。

　（二）受影响版本

　　OpenSSL 0.9.8 全系列（已停止维护，无补丁）；

　　OpenSSL 1.0.1 全系列、1.0.2 系列（1.0.2i 及以下）；

　　OpenSSL 1.1.0 系列（1.1.0b 及以下）、1.1.1 系列（1.1.1m 及以下）；

　　OpenSSL 3.0.0、3.0.1 版本。
　　所有依赖上述版本的 Nginx、Apache 等服务及各类网络应用均可能受影响。

　　二、应急修复与防护措施

　（一）优先升级安全版本

　　立即将 OpenSSL 升级至无漏洞版本：建议直接升级至 3.4.0 等最新稳定版；无法跨版本升级的，可针对性更新至 1.0.2j、1.1.0b、1.1.1g 及以上对应安全版本。补丁需通过 OpenSSL 官方网站（https://www.openssl.org/source/）下载，避免使用非官方渠道包。

　（二）临时缓解措施（无法立即升级时）

　　1. 网络层防护：通过防火墙、WAF 拦截含恶意证书、畸形会话 ID 或特定 TLS 扩展的请求，限制单 IP 高频连接。

　　2. 服务配置加固：关闭非必要的 TLS 协议版本（如 TLS 1.0/1.1），仅启用 TLS 1.2 及以上安全协议；限制外部证书解析权限，仅信任可信证书源。

　　3. 资源监控：部署系统监控工具，实时监测 OpenSSL 相关进程的 CPU、内存占用，发现异常立即重启服务并排查攻击源。

　（三）长期防护策略

　　1. 定期版本审计：建立开源组件管理机制，定期通过 openssl version 命令核查版本，及时跟进官方安全更新。

　　2. 废弃老旧版本：对已停止维护的 0.9.8、1.0.1 系列，尽快迁移至 1.1.1 或 3.x 支持版本，避免无补丁风险。

　　3. 兼容性测试：升级前在测试环境验证新版本与业务系统的兼容性，避免因 API 变更影响服务正常运行。

　　三、注意事项

　　1. 升级后需重新编译依赖 OpenSSL 的应用（如 Nginx），确保组件联动生效；

　　2. 若发现服务异常崩溃、资源占用飙升等情况，立即隔离受影响设备，排查恶意请求日志；

　　3. 持续关注 OpenSSL 官方安全公告，及时获取新增漏洞的修复方案。

　　请各单位及个人于完成全量受影响设备的漏洞修复与配置加固，建立常态化安全管理机制，防范拒绝服务攻击造成的业务损失。

　　特此通告。