了解金山云最新公告
2021-03-28 00:00:00
近日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到OpenSSL發(fā)布安全公告,通報了CVE-2021-3449和 CVE-2021-3450兩個高危漏洞。
漏洞利用方式已公開,風(fēng)險等級較高,建議OpenSSL用戶及時升級到安全版本,避免遭受惡意攻擊。
漏洞描述
OpenSSL是一個開放源代碼的軟件庫包,應(yīng)用程序可以使用這個包來進行安全通信,同時確認(rèn)連接者身份。這個包廣泛被應(yīng)用在互聯(lián)網(wǎng)的網(wǎng)頁服務(wù)器上。例如:cisco設(shè)備,apache server,nginx server等。
l CVE-2021-3450: CA證書校驗漏洞
該漏洞風(fēng)險等級為高危,同時影響服務(wù)器和客戶端實例。
在開啟X509_V_FLAG_X509_STRICT選項的OpenSSL服務(wù)器上,由于OpenSSL對X.509證書鏈的驗證邏輯中存在問題,導(dǎo)致之前確認(rèn)鏈中證書是有效CA證書的檢查結(jié)果可以被覆蓋。攻擊者可以通過使用任何有效的證書或證書鏈來簽名制作的證書來利用此漏洞。成功的利用可能使攻擊者能夠進行中間人(MiTM)攻擊并獲取敏感信息,如訪問受證書身份驗證保護的網(wǎng)絡(luò)或資產(chǎn)、竊聽加密通信內(nèi)容等。
l CVE-2021-3449: 拒絕服務(wù)漏洞
該漏洞風(fēng)險等級為高危,只影響運行在1.1.1~1.1.1j 版本之間且需要同時啟用 TLSv1.2 和重新協(xié)商的 OpenSSL, OpenSSL 客戶端不受該漏洞影響。
OpenSSL TLSv1.2 重新協(xié)商選項(默認(rèn)開啟)中存在一處空指針解引用,在客戶端發(fā)送一個惡意的 ClientHello消息就可造成OpenSSL TLS服務(wù)器崩潰并導(dǎo)致拒絕服務(wù)。
影響版本
OpenSSL 1.1.1h~1.1.1j
安全版本
OpenSSL 1.1.1k
修復(fù)建議
盡快升級到安全版本
臨時修復(fù)措施
1) 如何自查是否受CVE-2021-3449漏洞影響
openssl s_client -tls1_2 -connect your_domain:443
[按下 R鍵]
查看關(guān)鍵詞RENEGOTIATING下方是否有包含verify關(guān)鍵詞的內(nèi)容。若存在則受到影響,若出現(xiàn)write:errno=0則標(biāo)識不受到該漏洞影響。
2) 如何修復(fù)CVE-2021-3449漏洞
將 peer_sigalgslen 設(shè)置為 0 即可修復(fù)該漏洞
參考鏈接:
[1] https://www.openssl.org/news/vulnerabilities.html
[2] https://ywnz.com/linuxaq/8950.html
[3] https://github.com/terorie/cve-2021-3449
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2021年3月28日