【漏洞背景】
2020年04月21日,openssl 官方发布了 TLS 1.3 组件拒绝服务漏洞 的风险通告,该漏洞编号为 CVE-2020-1967。

【漏洞等级】高危,影响广泛。

【漏洞概述】
openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信。这个包广泛被应用在互联网的网页服务器上。其主要库是以C语言所写成,实现了基本的加密功能,实现了SSL与TLS协议。openssl可以运行在OpenVMS、 Microsoft Windows以及绝大多数类Unix操作系统上(包括Solaris,Linux,MacOS与各种版本的开放源代码BSD操作系统)。

TLS(Transport Layer Security) 是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。

在浏览器、电子邮件、即时通信、VoIP、网络传真等应用程序中都广泛支持这个协议。该协议当前已成为互联网上保密通信的工业标准。

openssl 存在拒绝服务漏洞,攻击者通过发送特制的请求包,可以造成目标主机服务崩溃或拒绝服务。

建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。

【漏洞详情】
服务端或客户端程序在 SSL_check_chain() 函数处理TLS 1.3握手前后。可能会触发空指针解引用,导致错误处理 tls 扩展 signature_algorithms_cert。当服务端或客户端程序收到一个无效或无法识别的签名算法时可能会引发崩溃或拒绝服务漏洞。

【影响版本】
openssl:1.1.1d
openssl:1.1.1e
openssl:1.1.1f

【影响范围】根据腾讯安全网络资产风险监测系统提供的数据,发现该漏洞影响超过17万台暴露在公网的Web服务器。

服务器地理分布如下:

【修复建议】通用修补建议:升级到 1.1.1g 版本,下载地址为:https://www.openssl.org/source/
1.0.2及之前版本的用户不受该漏洞影响,但此类版本已经失去支持,建议用户升级到 1.1.1g。

【腾讯安全解决方案】腾讯T-Sec主机安全(Cloud Workload Protection,CWP,云镜)已支持检测CVE-2020-1967漏洞并提供修复方案。

【时间线】
2020-04-21 openssl官方发布安全通告;
2020-04-26 腾讯安全发布漏洞预警,并提供主机安全解决方案。

【参考链接】https://www.openssl.org/news/secadv/20200421.txt

openssl升级_CVE20201967: openssl 拒绝服务漏洞通告相关推荐

  1. openssl升级_CVE-2020-1967:OpenSSL拒绝服务漏洞警报

    最近,openssl正式发布了TLS 1.3组件拒绝服务漏洞的风险通知,漏洞编号为CVE-2020-1967,且漏洞级别为高风险. OpenSSL是用于应用程序的软件库,可保护计算机网络上的通信免遭窃 ...

  2. CVE-2020-1971: OpenSSL 拒绝服务漏洞通告

    2020-12-09 08:47 报告编号:B6-2020-120901 报告来源:360CERT 报告作者:360CERT 更新日期:2020-12-09 0x01 漏洞简述 2020年12月09日 ...

  3. CVE-2020-1967: openssl 拒绝服务漏洞通告

    CVE-2020-1967: openssl 拒绝服务漏洞通告 360-CERT [360CERT](javascript:void(0)

  4. Apache Tomcat 拒绝服务漏洞通告

    作者 | 360CERT 来源 | https://www.oschina.net/news/164556 报告编号:B6-2021-101501 报告来源:360CERT 报告作者:360CERT ...

  5. OpenSSL 拒绝服务、证书绕过漏洞通告

    报告编号:B6-2021-032601 报告来源:360CERT 报告作者:360CERT 更新日期:2021-03-26 0x01漏洞简述 2021年03月26日,360CERT监测发现OpenSS ...

  6. 【安全狗高危安全通告】OpenSSL存在远程代码执行漏洞和拒绝服务漏洞

    近日,安全狗应急响应中心监测到,OpenSSL官方发布安全公告,漏洞编号为CVE-2022-1292.CVE-2022-1473.攻击者可远程利用这两个漏洞造成代码执行和拒绝服务. 漏洞描述 Open ...

  7. 绿盟科技网络安全威胁周报2017.07 请关注OpenSSL拒绝服务漏洞CVE-2017-3733

    绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-07,绿盟科技漏洞库本周新增49条,其中高危24条.本次周报建议大家关注 OpenSSL拒绝服务漏洞 CVE-2017-3733 .目前Ope ...

  8. linux系统漏洞升级方法,OpenSSL “Heartbleed”心脏流血漏洞升级方法

    网上随便一搜 OpenSSL Heartbleed 会看到几万个相关的内容.影响的,不仅仅的是网银,很多通过OpenSSL加密的安全链路都有一定的风险,因此,最好尽快升级所有其的OpenSSL. 如R ...

  9. android openssl漏洞,nginx升级之openssl 漏洞

    环境 1 之前是yum 安装的 2 centos 6.5 步骤 升级openssl 升级nginx 升级openssl 为了修补openssl低版本存在的漏洞,现将Centos 6.5系统openss ...

最新文章

  1. 什么是AI“智慧芯片”?清华魏少军提出11点基本要素
  2. 消息队列服务器 轻量,PHP的轻量消息队列php-resque使用说明
  3. java创建和销毁一个对象_有效的Java –创建和销毁对象
  4. Java SE 11:推动Java向前发展
  5. 推荐几款jquery图片切换插件
  6. js map对象遍历_何时使用 Map 来代替变通的 JS 对象
  7. asp 连接mysql_如何在ASP中连接MySQL数据库
  8. linux拷贝带子文件夹命令,简单带子目录的makefile练习
  9. Cocostudio使用简介
  10. python初级樱花编程代码_python turtle绘制樱花树代码
  11. 小白的一周学习汇总!
  12. Android Studio 下载ndk
  13. [10]STM32程序调试方法-STLINK调试和软件调试
  14. Bad client credentials
  15. 结对项目-数独程序扩展
  16. Egret性能优化之优化渲染
  17. python @ 用法
  18. JdbcTemplate 查询数据库 + 具名参数 NamedParameterJdbcTemplate
  19. 放for循环里面和外面区别
  20. 告诉大家操作系统32位和64位的区别

热门文章

  1. CTF-Misc-CRC32碰撞脚本 (二)
  2. python导入包库的两种语句import 和 from … import
  3. php 提交表单跳转页面,form表单页面跳转方式提交练习
  4. python 类继承与子类实例初始化
  5. python与Excel的完美结合
  6. 分享8点超级有用的Python编程建议
  7. linux大硬盘格式化,linux 格式化大于2T的硬盘
  8. 为计算机系的学生建立视图,数据库及其应用2010年1月真题
  9. 华为12月份鸿蒙适配mate40,华为:Mate40系列在12月可优先升级鸿蒙系统
  10. promise ajax 队列,ES6中的promise,从使用promise封装ajax说起