一、基本情况

近日,监测发现OpenSSL发布了OpenSSL拒绝服务漏洞的风险通告,对应CVE编号:CVE-2020-1971,远程攻击者通过构造特制的证书验证过程触发该漏洞,并导致服务端拒绝服务。目前,OpenSSL官方已发布新版本修复该漏洞,建议受影响用户将OpenSSL升级至1.1.1i版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

二、漏洞等级

高危

三、漏洞详情

OpenSSL是一个开放源代码的软件库包,包括SSL协议库,应用程序和密码算法库等功能,提供完整的传输层安全实现,可以实现密钥生成,数字签名,数字证书签发,信息摘要等完整的加解密功能,保证通信的私密性。

OpenSSL在处理EDIPartyName (X.509 GeneralName类型)时,使用的函数GENERAL_NAME_cmp中存在一处空指针解引用。当使用该函数进行比较的两个参数都包含EDIPartyName时触发该漏洞,造成程序崩溃,最终导致拒绝服务,影响业务/功能正常运行。

四、影响范围

OpenSSL 1.1.1

OpenSSL 1.0.2

注:OpenSSL 1.0.2官方已停止公开版本的支持

五、处置建议

建议受影响用户将OpenSSL升级至1.1.1i版本,下载地址:

https://www.openssl.org/source/

六、参考链接

https://www.openssl.org/news/secadv/20201208.txt

支持单位:

上海观安信息技术股份有限公司

北京天融信网络安全技术有限公司

深信服科技股份有限公司

中国信息通信研究院

声明:本文来自网络安全威胁信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。