CVE-2020-1971: OpenSSL 拒绝服务漏洞通告
2020-12-09 08:47
报告编号:B6-2020-120901
报告来源:360CERT
报告作者:360CERT
更新日期:2020-12-09
0x01 漏洞简述
2020年12月09日,360CERT监测发现 openssl
发布了 openssl 拒绝服务漏洞
的风险通告,该漏洞编号为 CVE-2020-1971
,漏洞等级: 高危
,漏洞评分: 7.5
。
OpenSSL
在处理 EDIPartyName
(X.509 GeneralName类型标识)的时候存在一处空指针解引用,并引起程序崩溃导致拒绝服务。
远程攻击者通过构造特制的证书验证过程触发该漏洞,并导致服务端拒绝服务,影响 业务/功能正常运行
。
对此,360CERT建议广大用户及时将 openssl
升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 风险等级
360CERT对该漏洞的评定结果如下
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 广泛 |
360CERT评分 | 7.5 |
0x03 漏洞详情
CVE-2020-1971: 拒绝服务漏洞
OpenSSL
在处理 EDIPartyName
(X.509 GeneralName类型)时,使用的函数 GENERAL_NAME_cmp
中存在一处空指针解引用。当使用该函数进行比较的两个参数都包含 EDIPartyName
时触发该漏洞。
GENERAL_NAME_cmp
函数在OpenSSL中主要作用为以下两点
\1. 比较X.509证书内的证书吊销列表和证书吊销分发节点中名称
\2. 验证响应令牌时间戳的签名者名称是否和时间戳许可者的名称一致
0x04 影响版本
- openssl:openssl
: 1.0.2/1.1.1
0x05 修复建议
通用修补建议
将 OpenSSL
升级到 1.1.1i
目前受到支持的 OpenSSL
版本只有 1.1.1
和 1.0.2
。同时 1.0.2
目前已经停止公开版本的支持,建议所有普通用户使用 1.1.1i
1.1.1i下载链接
0x06 空间测绘数据
360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现使用 https
的服务器具体分布如下图所示。
0x07 产品侧解决方案
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
0x08 时间线
2020-12-08 OpenSSL发布通告
2020-12-09 360CERT发布通告
0x09 参考链接
OpenSSL Security Advisory 08 December 2020
0x0a 特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。
CVE-2020-1971: OpenSSL 拒绝服务漏洞通告
若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。
转载自https://cert.360.cn/warning/detail?id=3ff205a0ff9f81d715ee53c13f425c29
CVE-2020-1971: OpenSSL 拒绝服务漏洞通告相关推荐
- CVE-2020-1967: openssl 拒绝服务漏洞通告
CVE-2020-1967: openssl 拒绝服务漏洞通告 360-CERT [360CERT](javascript:void(0)
- openssl升级_CVE20201967: openssl 拒绝服务漏洞通告
[漏洞背景] 2020年04月21日,openssl 官方发布了 TLS 1.3 组件拒绝服务漏洞 的风险通告,该漏洞编号为 CVE-2020-1967. [漏洞等级]高危,影响广泛. [漏洞概述] ...
- 绿盟科技网络安全威胁周报2017.07 请关注OpenSSL拒绝服务漏洞CVE-2017-3733
绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-07,绿盟科技漏洞库本周新增49条,其中高危24条.本次周报建议大家关注 OpenSSL拒绝服务漏洞 CVE-2017-3733 .目前Ope ...
- Centos7修复OpenSSL拒绝服务漏洞(CVE-2022-0778)
前言: centos7环境下OpenSSL拒绝服务漏洞(CVE-2022-0778) 漏洞影响范围: OpenSSL1.0.2 OpenSSL1.1.1 OpenSSL3.0 OpenSSL拒绝服务漏 ...
- Apache Tomcat 拒绝服务漏洞通告
作者 | 360CERT 来源 | https://www.oschina.net/news/164556 报告编号:B6-2021-101501 报告来源:360CERT 报告作者:360CERT ...
- openssl升级_CVE-2020-1967:OpenSSL拒绝服务漏洞警报
最近,openssl正式发布了TLS 1.3组件拒绝服务漏洞的风险通知,漏洞编号为CVE-2020-1967,且漏洞级别为高风险. OpenSSL是用于应用程序的软件库,可保护计算机网络上的通信免遭窃 ...
- 【安全狗高危安全通告】OpenSSL存在远程代码执行漏洞和拒绝服务漏洞
近日,安全狗应急响应中心监测到,OpenSSL官方发布安全公告,漏洞编号为CVE-2022-1292.CVE-2022-1473.攻击者可远程利用这两个漏洞造成代码执行和拒绝服务. 漏洞描述 Open ...
- request:fail 发生了 SSL 错误无法建立与该服务器的安全连接——openssl报漏洞该升级了
一.场景: 接口发布服务器环境为CentOS Linux release 7.5.1804 (Core),OpenSSL 版本OpenSSL 1.0.2k-fips 26 Jan 2017,前端是u ...
- OpenSSL 拒绝服务、证书绕过漏洞通告
报告编号:B6-2021-032601 报告来源:360CERT 报告作者:360CERT 更新日期:2021-03-26 0x01漏洞简述 2021年03月26日,360CERT监测发现OpenSS ...
最新文章
- MyEclipse插件安装
- Hash函数的安全性
- Spring Boot(七):Mybatis 多数据源最简解决方案
- 计算机怎么删除表格,电脑中删除Excel2010表格多余图片的三种方法
- 【WebRTC---进阶篇】(六)SELECT网络模型
- 洛谷 3381 【模板】最小费用最大流
- python字符串迭代_Python字符串迭代/函数
- Android 进程生命周期 Process Lifecycle
- Python面向对象编程三大特性之封装
- 批量复制文件并改成有顺序的文件名
- Windows 8 Directx 开发学习笔记(七)水波纹的实现
- web前端基础面试题
- Turtle库是Python语言中一个很流行的绘制图像的函数库
- 学以致用二十四-----shell脚本中的列表及space
- 关于国际论文中,国内外人名顺序的问题
- 用计算机网络专业说一句情话,用你的专业,说一句情话!
- java long 区别_java中long和int的区别
- 双 JK 触发器 74LS112 逻辑功能。真值表_数字电路学习笔记(十一):时序逻辑...
- 【Paper】2013_Event-triggering Sampling Based Leader-following Consensus in Second-order Multi-agent S
- echarts做企业关系图谱_echarts交叉关系图一
热门文章
- JS获取当前网页大小以及屏幕分辨率等
- python解析omim网页内容
- python集合的概念_用Python中的集合Set讲解演示高一数学集合的概念
- oracle聚簇因子对于索引使用的影响
- 可能是目前为止全网最好的介绍分布式系统原理的中文文档!
- Android常用开源库整理汇总
- Hyperf权限管理组件hyperf-permission发布
- 【调剂】黑龙江大学电子工程学院-王国涛副教授课题组招收2021级硕士研究生(调剂生)...
- 微信根据Media_id下载录音报错readfile(): Peer certificate CN=`mp.weixin.qq.com‘ did not match expected CN=`file
- 从两年三次大调整,看滴滴的鲜花和荆棘