3月25日,OpenSSL官方发布两个高危漏洞风险通告,漏洞风险等级为“高”,攻击者利用漏洞可导致拒绝服务和中间人攻击。
OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连线者的身份。这个包广泛被应用在互联网的网页服务器上,已是互联网最重要的基础设施之一。
漏洞描述:
CVE-2021-3449:signature_algorithms处理NULL指针反引用致拒绝服务漏洞
严重程度:高
OpenSSL TLSv1.2 重新协商选项(默认开启)中存在一处空指针解引用,并导致拒绝服务。
受影响的版本:
此问题影响所有OpenSSL 1.1.1版本。
OpenSSL 1.0.2不受此问题影响。
安全版本:
OpenSSL 1.1.1k(https://openssl.org/)。
CVE-2021-3450:证书校验漏洞
严重程度:高
在开启 X509_V_FLAG_X509_STRICT 选项的 openssl 服务器上,由于OpenSSL对X.509证书链的验证逻辑中存在问题,导致受影响的系统接受由非CA证书或证书链签名的有效证书。
攻击者可以通过使用任何有效的证书或证书链来签名精心制作的证书来利用此漏洞,成功利用漏洞可以实现中间人(MiTM)攻击并获取敏感信息。(例如:访问受证书身份验证保护的网络或资产,窃听加密通信内容,或诱骗受害人访问钓鱼网站)。
受影响的版本:
OpenSSL 1.1.1h及更高版本受此问题影响。
OpenSSL 1.0.2不受此问题影响。
安全版本:
OpenSSL 1.1.1k(https://openssl.org/)。
引用自:https://s.tencent.com/research/bsafe/1281.html