聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

刚刚，OpenSSL 项目发布安全公告指出，OpenSSL 产品中存在两个漏洞（CVE-2021-3449和CVE-2021-3450），OpenSSL 官方将其评级为“高危”漏洞。

OpenSSL 是一款常用软件库，用于构建网络应用程序和服务器以建立安全通信。

这两个高危漏洞是：

• CVE-2021-3449：因 NULL 指针解引用造成的拒绝服务缺陷，仅影响 OpenSSL 服务器实例，不影响客户端。

• CVE-2021-3450：证书颁发机构证书验证不当漏洞，同时影响服务器实例和客户端实例。

一行代码修复 DoS 漏洞

DoS 漏洞 (CVE-2021-3449) 位于 OpenSSL TLS 服务器中，如果在重新协商过程中，客户端发送恶意的 ClientHello 信息，则可导致服务器崩溃。安全公告中指出，“如果 TLSv1.2 重新协商 ClientHello 省略了扩展 signature_algorithms （出现于初始的 ClientHello 中）但包含扩展 signature_algorithms_cert，则会导致 NULL 指针解引用，从而导致崩溃和拒绝服务攻击。“

该漏洞仅影响运行1.1.1 和 1.1.1j（均含）之间版本且均启用了 TLSv1.2 和重新协商的 OpenSSL 服务器。然而，由于这是这些 OpenSSL 服务器版本的默认配置，因此很多活跃的服务器可能易受攻击。OpenSSL 客户端不受影响。

幸运的是，仅需一行代码即可修复该漏洞，即将 peer_sigalgslen 设为0。

该漏洞是由诺基亚公司的工程师 Peter Kästle 和 Samuel Sapalski 发现并提供上述修复方案的。

非证书颁发机构无法发放证书！

证书颁发机构 (CA) 证书验证绕过漏洞 (CVE-2021-3450) 和 X509_V_FLAG_X509_STRICT 标记有关。OpenSSL 使用该标记的目的是禁止使用崩溃证书的缓解措施并严格要求证书经过 X509 规则验证。

然而，由于存在一个回归漏洞，OpenSSL 1.1.1h 及以上版本（但不含 1.1.1k版本）受该漏洞影响，因为该标记并非在这些版本中默认设置，“从 OpenSSL 1.1.1h 版本开始，增加了额外的严格检查，禁止链中显式编码椭圆曲线参数的证书。检查执行中出现错误意味着，之前用来确认链中证书是合法 CA 证书的检查结果被覆写。“

2021年3月18日，Akamai 公司的研究员 Benjamin Kaduk 向 OpenSSL 项目报告了该缺陷。该漏洞是由Akamai 公司的工程师 Xiang Ding 等人发现的，修复方案由 Tomáš Mráz 开发。

及时打补丁

这两个漏洞均不影响 OpenSSL 1.0.2，且均在 OpenSSL 1.1.1k 中修复，建议用户升级至该版本以保护实例的安全。

Diban和 Ubuntu 已发布补丁，但 Linux 的其它发行版本和操作系统厂商可能也会跟进发布补丁。虽然这两个漏洞的严重程度不及“心脏出血“，但用户应及时更新。

去年12月，DHS-CISA 督促系统管理员修复另外一个 DoS 漏洞。

目前，奇安信开源卫士已支持对OpenSSL 漏洞的检测。

开通奇安信开源卫士 (https://oss.qianxin.com) 账号，我们帮您全面排查 Linux 主机环境和应用软件资产是否受开源软件漏洞影响。

推荐阅读

OpenSSL将于本周四修复“严重”漏洞

“心脏出血”后，OpenSSL 起死回生靠什么？

详解恶意软件 XcodeSpy 如何针对 iOS 开发人员展开供应链攻击

奇安信开源组件安全治理解决方案——开源卫士

奇安信开源卫士率先通过可信开源治理工具评估

参考链接

https://www.bleepingcomputer.com/news/security/openssl-fixes-severe-dos-certificate-validation-vulnerabilities/

https://www.theregister.com/2021/03/25/openssl_bug_fix/

https://www.openssl.org/news/secadv/20210325.txt

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~