• 我的位置:
  • 首頁
  • -
  • 漏洞預警
  • -
  • 其他
  • -
    • OpenSSL 拒絕服務及證書繞過漏洞
    • CNNVD編號:未知
    • 危害等級: 高危 
    • CVE編號:CVE-2021-3450/CVE-2021-3449
    • 漏洞類型: 遠程代碼執(zhí)行
    • 威脅類型:遠程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2021-05-06
    • 更新時間:2021-05-06

    漏洞簡介

    1、組件介紹

    OpenSSL是一個開放源代碼的軟件庫包,應用程序可以使用這個包來進行安全通信,避免竊聽,同時確認另一端連接者的身份。這個包廣泛被應用在互聯網的網頁服務器上。TLS是一種安全協(xié)議,目的是為互聯網通信提供安全及數據完整性保障。該協(xié)議在瀏覽器,電子郵件,即時通訊,VoIP和網絡傳真等應用程序中得到廣泛支持。該協(xié)議現已成為Internet上安全通信的行業(yè)標準。

    2、漏洞描述

    2021年3月25日,深信服安全團隊監(jiān)測到OpenSSL官方更新了漏洞披露列表,通告披露了OpenSSL組件存在拒絕服務、證書繞過漏洞,漏洞編號:CVE-2021-3449/3450。


    CVE-2021-3450: 證書校驗漏洞

    該漏洞當開啟X509_V_FLAG_X509_STRICT標志時將添加一項關于證書CA證書有效性的檢查,而該檢查中存在漏洞,導致驗證結果被覆蓋,攻擊者可利用該漏洞在未授權的情況下,構造惡意數據偽造可信證書,并利用中間人攻擊的攻擊方式,最終可造成服務器敏感性信息泄露。


    CVE-2021-3449: 拒絕服務漏洞

    OpenSSL TLS服務器存在空指針漏洞,攻擊者可利用該漏洞在未授權的情況下,構造惡意數據發(fā)送惡意的ClientHello請求,最終可造成服務器拒絕服務。

    漏洞公示

    如何檢測組件系統(tǒng)版本


    Openssl version


    參考網站

    暫無

    受影響實體

    OpenSSL 可以運行在幾乎所有安全通信的場景中。全球有近千萬 服務器采用 OpenSSL,可能受漏洞影響的資產廣泛分布于世界各地,中國大陸省份中,浙江、廣東、山東、北京、上海、江蘇等省市都有超過一萬的服務器采用OpenSSL,今年曝出的漏洞為高危,建議用戶及時更新到最新版本。


    目前受影響的OpenSSL版本:

    CVE-2021-3449:1.1.1-1.1.1j

    CVE-2021-3450:1.1.1h-1.1.1j

    補丁

    1、官方修復建議

    當前官方已發(fā)布最新版本,建議受影響的用戶及時更新升級到最新版本。鏈接如下:

    https://www.openssl.org/

    2、深信服解決方案

    深信服安全云眼】在漏洞爆發(fā)之初,已完成檢測更新,對所有用戶網站探測,保障用戶安全。不清楚自身業(yè)務是否存在漏洞的用戶,可注冊信服云眼賬號,獲取30天免費安全體驗。

    注冊地址:http://saas.sangfor.com.cn

    深信服云鏡】在漏洞爆發(fā)第一時間即完成檢測能力的發(fā)布,部署云端版云鏡的用戶只需選擇緊急漏洞檢測,即可輕松、快速檢測此高危風險。部署離線版云鏡的用戶需要下載離線更新包來獲取該漏洞的檢測能力。