• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 其他
  • -
    • OpenSSL 拒絕服務(wù)及證書繞過漏洞
    • CNNVD編號(hào):未知
    • 危害等級(jí): 高危 
    • CVE編號(hào):CVE-2021-3450/CVE-2021-3449
    • 漏洞類型: 遠(yuǎn)程代碼執(zhí)行
    • 威脅類型:遠(yuǎn)程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時(shí)間:2021-05-06
    • 更新時(shí)間:2021-05-06

    漏洞簡介

    1、組件介紹

    OpenSSL是一個(gè)開放源代碼的軟件庫包,應(yīng)用程序可以使用這個(gè)包來進(jìn)行安全通信,避免竊聽,同時(shí)確認(rèn)另一端連接者的身份。這個(gè)包廣泛被應(yīng)用在互聯(lián)網(wǎng)的網(wǎng)頁服務(wù)器上。TLS是一種安全協(xié)議,目的是為互聯(lián)網(wǎng)通信提供安全及數(shù)據(jù)完整性保障。該協(xié)議在瀏覽器,電子郵件,即時(shí)通訊,VoIP和網(wǎng)絡(luò)傳真等應(yīng)用程序中得到廣泛支持。該協(xié)議現(xiàn)已成為Internet上安全通信的行業(yè)標(biāo)準(zhǔn)。

    2、漏洞描述

    2021年3月25日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到OpenSSL官方更新了漏洞披露列表,通告披露了OpenSSL組件存在拒絕服務(wù)、證書繞過漏洞,漏洞編號(hào):CVE-2021-3449/3450。


    CVE-2021-3450: 證書校驗(yàn)漏洞

    該漏洞當(dāng)開啟X509_V_FLAG_X509_STRICT標(biāo)志時(shí)將添加一項(xiàng)關(guān)于證書CA證書有效性的檢查,而該檢查中存在漏洞,導(dǎo)致驗(yàn)證結(jié)果被覆蓋,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)偽造可信證書,并利用中間人攻擊的攻擊方式,最終可造成服務(wù)器敏感性信息泄露。


    CVE-2021-3449: 拒絕服務(wù)漏洞

    OpenSSL TLS服務(wù)器存在空指針漏洞,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)發(fā)送惡意的ClientHello請(qǐng)求,最終可造成服務(wù)器拒絕服務(wù)。

    漏洞公示

    如何檢測(cè)組件系統(tǒng)版本


    Openssl version


    參考網(wǎng)站

    暫無

    受影響實(shí)體

    OpenSSL 可以運(yùn)行在幾乎所有安全通信的場(chǎng)景中。全球有近千萬 服務(wù)器采用 OpenSSL,可能受漏洞影響的資產(chǎn)廣泛分布于世界各地,中國大陸省份中,浙江、廣東、山東、北京、上海、江蘇等省市都有超過一萬的服務(wù)器采用OpenSSL,今年曝出的漏洞為高危,建議用戶及時(shí)更新到最新版本。


    目前受影響的OpenSSL版本:

    CVE-2021-3449:1.1.1-1.1.1j

    CVE-2021-3450:1.1.1h-1.1.1j

    補(bǔ)丁

    1、官方修復(fù)建議

    當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時(shí)更新升級(jí)到最新版本。鏈接如下:

    https://www.openssl.org/

    2、深信服解決方案

    深信服安全云眼】在漏洞爆發(fā)之初,已完成檢測(cè)更新,對(duì)所有用戶網(wǎng)站探測(cè),保障用戶安全。不清楚自身業(yè)務(wù)是否存在漏洞的用戶,可注冊(cè)信服云眼賬號(hào),獲取30天免費(fèi)安全體驗(yàn)。

    注冊(cè)地址:http://saas.sangfor.com.cn

    深信服云鏡】在漏洞爆發(fā)第一時(shí)間即完成檢測(cè)能力的發(fā)布,部署云端版云鏡的用戶只需選擇緊急漏洞檢測(cè),即可輕松、快速檢測(cè)此高危風(fēng)險(xiǎn)。部署離線版云鏡的用戶需要下載離線更新包來獲取該漏洞的檢測(cè)能力。