速修复!OpenSSL 披露DoS 和证书验证高危漏洞,可导致服务器崩溃
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
刚刚,OpenSSL 项目发布安全公告指出,OpenSSL 产品中存在两个漏洞(CVE-2021-3449和CVE-2021-3450),OpenSSL 官方将其评级为“高危”漏洞。
OpenSSL 是一款常用软件库,用于构建网络应用程序和服务器以建立安全通信。
这两个高危漏洞是:
CVE-2021-3449:因 NULL 指针解引用造成的拒绝服务缺陷,仅影响 OpenSSL 服务器实例,不影响客户端。
CVE-2021-3450:证书颁发机构证书验证不当漏洞,同时影响服务器实例和客户端实例。
一行代码修复 DoS 漏洞
DoS 漏洞 (CVE-2021-3449) 位于 OpenSSL TLS 服务器中,如果在重新协商过程中,客户端发送恶意的 ClientHello 信息,则可导致服务器崩溃。安全公告中指出,“如果 TLSv1.2 重新协商 ClientHello 省略了扩展 signature_algorithms (出现于初始的 ClientHello 中)但包含扩展 signature_algorithms_cert,则会导致 NULL 指针解引用,从而导致崩溃和拒绝服务攻击。“
该漏洞仅影响运行1.1.1 和 1.1.1j(均含)之间版本且均启用了 TLSv1.2 和重新协商的 OpenSSL 服务器。然而,由于这是这些 OpenSSL 服务器版本的默认配置,因此很多活跃的服务器可能易受攻击。OpenSSL 客户端不受影响。
幸运的是,仅需一行代码即可修复该漏洞,即将 peer_sigalgslen 设为0。
该漏洞是由诺基亚公司的工程师 Peter Kästle 和 Samuel Sapalski 发现并提供上述修复方案的。
非证书颁发机构无法发放证书!
证书颁发机构 (CA) 证书验证绕过漏洞 (CVE-2021-3450) 和 X509_V_FLAG_X509_STRICT 标记有关。OpenSSL 使用该标记的目的是禁止使用崩溃证书的缓解措施并严格要求证书经过 X509 规则验证。
然而,由于存在一个回归漏洞,OpenSSL 1.1.1h 及以上版本(但不含 1.1.1k版本)受该漏洞影响,因为该标记并非在这些版本中默认设置,“从 OpenSSL 1.1.1h 版本开始,增加了额外的严格检查,禁止链中显式编码椭圆曲线参数的证书。检查执行中出现错误意味着,之前用来确认链中证书是合法 CA 证书的检查结果被覆写。“
2021年3月18日,Akamai 公司的研究员 Benjamin Kaduk 向 OpenSSL 项目报告了该缺陷。该漏洞是由Akamai 公司的工程师 Xiang Ding 等人发现的,修复方案由 Tomáš Mráz 开发。
及时打补丁
这两个漏洞均不影响 OpenSSL 1.0.2,且均在 OpenSSL 1.1.1k 中修复,建议用户升级至该版本以保护实例的安全。
Diban和 Ubuntu 已发布补丁,但 Linux 的其它发行版本和操作系统厂商可能也会跟进发布补丁。虽然这两个漏洞的严重程度不及“心脏出血“,但用户应及时更新。
去年12月,DHS-CISA 督促系统管理员修复另外一个 DoS 漏洞。
目前,奇安信开源卫士已支持对OpenSSL 漏洞的检测。
开通奇安信开源卫士 (https://oss.qianxin.com) 账号,我们帮您全面排查 Linux 主机环境和应用软件资产是否受开源软件漏洞影响。
推荐阅读
OpenSSL将于本周四修复“严重”漏洞
“心脏出血”后,OpenSSL 起死回生靠什么?
详解恶意软件 XcodeSpy 如何针对 iOS 开发人员展开供应链攻击
奇安信开源组件安全治理解决方案——开源卫士
奇安信开源卫士率先通过可信开源治理工具评估
参考链接
https://www.bleepingcomputer.com/news/security/openssl-fixes-severe-dos-certificate-validation-vulnerabilities/
https://www.theregister.com/2021/03/25/openssl_bug_fix/
https://www.openssl.org/news/secadv/20210325.txt
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
速修复!OpenSSL 披露DoS 和证书验证高危漏洞,可导致服务器崩溃相关推荐
- 速修复!这个严重的 Apache Struts RCE 漏洞补丁不完整
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士团队 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的 ...
- 最新pvz服务器补偿码,阴阳师:补偿来了!大量活动导致服务器崩溃,现已修复且下发补偿...
原标题:阴阳师:补偿来了!大量活动导致服务器崩溃,现已修复且下发补偿 阴阳师每周三的日常更新可以说玩家们最为期待的,毕竟所有的活动都是在周三更新日上新,而本周三上线的新活动可以说是非常多的,新SP降临 ...
- 速修复!这个严重的Zlib内存损坏漏洞已存在17年!
聚焦源代码安全,网罗国内外最新资讯! 作者:Jessica Lyons Hardcastle 编译:代码卫士团队 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人&qu ...
- linux系统漏洞修复2019,Linux中 OpenSSH 输入验证错误漏洞(CVE-2019-16905) 修复解决方案...
解决方案: redhat6.7与centos6.7版本升级到openssh8.1版本与openssl-1.1.1自动化脚本,解决linuxOpenSSH输入验证错误漏洞(CVE-2019-16905) ...
- 工业互联网巨头 GE Digital 修复SCADA 软件中的两个高危漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GE Digital 发布补丁和缓解措施,解决了影响 Proficy CIMPLICITY HMI/SCADA 软件的两个高危漏洞.该软件用于全 ...
- 阴阳师服务器异常修复,阴阳师大量活动导致服务器崩溃 现已修复且下发补偿...
阴阳师每周三的日常更新可以说玩家们最为期待的,毕竟所有的活动都是在周三更新日上新,而本周三上线的新活动可以说是非常多的,新SP降临.绘卷开启.万事屋活动开启等等活动,由于种种原因,导致了游戏的崩溃. ...
- 速修复!21个漏洞影响60%的互联网邮箱服务器
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 Exim 邮件服务器软件的维护人员发布更新,共修复21个漏洞,它们本可导致威胁人员通过本地和远程攻击向量接管服务器.这些漏洞被统称为 &q ...
- 高危OpenSSL 漏洞可导致远程代码执行
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 OpenSSL 中存在一个高危漏洞,可导致恶意人员在服务器端设备上实现远程代码执行. OpenSSL是一款使用广泛的加密库,提供SSL 和 TL ...
- 服务器证书验证失败怎么办
手机或是电脑在日常生活中使用是非常频繁的,一些人会拿自己个人信息绑定手机或者电脑上,一些人害怕出现信息泄漏的问题,手机可以使用密码保护自己的信息资料,电脑也可以加密自己的信息,只要在电脑上安装服务器就 ...
最新文章
- R语言时间序列(time series)分析实战:简单指数平滑法预测
- Yii2 HOW-TO(2):最佳实践(1)
- boost::mpl模块实现set_c相关的测试程序
- 决策树数学原理(ID3,c4.5,cart算法)
- java提取json数组对象所有的id,一文轻松搞定
- 【HDU - 4635】Strongly connected(缩点,新图性质,建图,Tarjan求强连通分量)
- 多台电脑共享一套鼠标键盘的免费方法
- goback history 传递参数_vue-router go(-1)后退时怎么带参数?
- svpwm的matlab模型,使用simulink进行SVPWM模块的搭建
- java 总线_用于 Java 的服务总线库
- JavaScript设计模式之“单例模式“
- 【金融项目】尚融宝项目(四)
- 【anaconda创建虚拟环境】
- vue created 无效
- 哈工大软件构造Lab2实验
- 《树莓派项目实战》第七节 使用声音传感器检测有无声音
- C语言 输入一个华氏温度F,要求输出摄氏度C。
- 纯js实现鼠标拖尾效果(好玩又简单,一学就会)
- 轻松解决桌面或者开始菜单里的图标显示异常
- 从前慢-HTML5+CSS3
热门文章
- MyEclipse_8.5+flex_4+Blazeds配置
- Linux 用户磁盘空间配额管理
- 第1本书:CCIE Practical Studies, Volume I-第13天
- Vue源码阅读一:说说vue.nextTick实现
- 找回密码forget_password
- DataX实现oracle到oracle之间的数据传递
- shell脚本批量生成配置文件
- WebRequest 对象的使用
- 新年+情人节礼物,WinDBG找出你内存溢出的地方
- html表单用户名,HTML表单