安全通告-OpenSSL 拒绝服务、证书绕过漏洞
发布时间:2021-03-26
阅读次数:1694
漏洞描述
2021年03月26日,OpenSSL发布了OpenSSL的安全更新风险通告,漏洞编号为CVE-2021-3450,CVE-2021-3449。
OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,同时确认连接者身份。这个包广泛被应用在互联网的网页服务器上。例如:cisco设备,apache server,nginx server等。
对此,建议广大用户及时将OpenSSL升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
漏洞编号
CVE-2021-3450,CVE-2021-3449
漏洞危害
CVE-2021-3450:证书校验漏洞
在开启 X509_V_FLAG_X509_STRICT 选项的 openssl 服务器上,由于OpenSSL对X.509证书链的验证逻辑中存在问题,导致受影响的系统接受由非CA证书或证书链签名的有效证书。攻击者可以通过使用任何有效的证书或证书链来签名精心制作的证书来利用此漏洞。成功的利用可能使攻击者能够进行中间人(MiTM)攻击并获取敏感信息(例如:访问受证书身份验证保护的网络或资产,窃听加密通信内容)。
CVE-2021-3449: 拒绝服务漏洞
OpenSSL TLSv1.2 重新协商选项(默认开启)中存在一处空指针解引用,并导致拒绝服务。
漏洞等级
高危
受影响版本
openssl:1.1.1h-1.1.1j
修复方案
1、通用修补建议
升级到 openssl1.1.1k
2、临时修补建议
针对CVE-2021-3449漏洞可以通过如下方式进行自我检测。
openssl s_client -tls1_2 -connect your_domain:443
[按下 R键]
查看关键词RENEGOTIATING下方是否有包含verify关键词的内容。若存在则受到影响
若出现write:errno=0则标识不受到该漏洞影响
参考链接
1、https://www.openssl.org/news/vulnerabilities.html
/
网络安全