无码一区二区三区,亚洲精品久久久久久一区二区,好吊视频一区二区三区,亚洲精品一区中文字幕乱码

官方公告

了解金山云最新公告

公告 > 安全公告 > 【風(fēng)險通告】OpenSSL 證書繞過漏洞和拒絕服務(wù)漏洞
【風(fēng)險通告】OpenSSL 證書繞過漏洞和拒絕服務(wù)漏洞

2021-03-28 00:00:00

近日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到OpenSSL發(fā)布安全公告,通報了CVE-2021-3449和 CVE-2021-3450兩個高危漏洞。

漏洞利用方式已公開,風(fēng)險等級較高,建議OpenSSL用戶及時升級到安全版本,避免遭受惡意攻擊。



漏洞描述

OpenSSL是一個開放源代碼的軟件庫包,應(yīng)用程序可以使用這個包來進行安全通信,同時確認(rèn)連接者身份。這個包廣泛被應(yīng)用在互聯(lián)網(wǎng)的網(wǎng)頁服務(wù)器上。例如:cisco設(shè)備,apache server,nginx server等。

l CVE-2021-3450: CA證書校驗漏洞

該漏洞風(fēng)險等級為高危,同時影響服務(wù)器和客戶端實例。

在開啟X509_V_FLAG_X509_STRICT選項的OpenSSL服務(wù)器上,由于OpenSSL對X.509證書鏈的驗證邏輯中存在問題,導(dǎo)致之前確認(rèn)鏈中證書是有效CA證書的檢查結(jié)果可以被覆蓋。攻擊者可以通過使用任何有效的證書或證書鏈來簽名制作的證書來利用此漏洞。成功的利用可能使攻擊者能夠進行中間人(MiTM)攻擊并獲取敏感信息,如訪問受證書身份驗證保護的網(wǎng)絡(luò)或資產(chǎn)、竊聽加密通信內(nèi)容等。

l CVE-2021-3449: 拒絕服務(wù)漏洞

該漏洞風(fēng)險等級為高危,只影響運行在1.1.1~1.1.1j 版本之間且需要同時啟用 TLSv1.2 和重新協(xié)商的 OpenSSL, OpenSSL 客戶端不受該漏洞影響。

OpenSSL TLSv1.2 重新協(xié)商選項(默認(rèn)開啟)中存在一處空指針解引用,在客戶端發(fā)送一個惡意的 ClientHello消息就可造成OpenSSL TLS服務(wù)器崩潰并導(dǎo)致拒絕服務(wù)。



影響版本

OpenSSL 1.1.1h~1.1.1j



安全版本

OpenSSL 1.1.1k



修復(fù)建議

盡快升級到安全版本


臨時修復(fù)措施

1) 如何自查是否受CVE-2021-3449漏洞影響

openssl s_client -tls1_2 -connect your_domain:443

[按下 R鍵]

查看關(guān)鍵詞RENEGOTIATING下方是否有包含verify關(guān)鍵詞的內(nèi)容。若存在則受到影響,若出現(xiàn)write:errno=0則標(biāo)識不受到該漏洞影響。

2) 如何修復(fù)CVE-2021-3449漏洞

將 peer_sigalgslen 設(shè)置為 0 即可修復(fù)該漏洞





參考鏈接:

[1] https://www.openssl.org/news/vulnerabilities.html

[2] https://ywnz.com/linuxaq/8950.html

[3] https://github.com/terorie/cve-2021-3449






北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2021年3月28日




长汀县| 万山特区| 泾源县| 吉首市| 黄龙县| 弋阳县| 峡江县| 利津县| 将乐县| 黑河市| 定日县| 河北省| 南充市| 积石山| 石家庄市| 车致| 松潘县| 杭锦后旗| 祥云县| 都兰县| 东港市| 桐梓县| 温泉县| 屏东市| 锡林郭勒盟| 垫江县| 富锦市| 介休市| 黄骅市| 开化县| 葫芦岛市| 太白县| 香格里拉县| 新邵县| 缙云县| 马龙县| 邳州市| 临泽县| 丹阳市| 长阳| 正蓝旗|