一、 基本情况

OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，同时确认连接者身份。这个包广泛被应用在互联网的网页服务器上。2021年03月25日，OpenSSL官方更新了漏洞披露列表，通告披露了OpenSSL组件存在拒绝服务、证书绕过漏洞，漏洞编号：CVE-2021-3449、CVE-2021-3450。

二、 漏洞描述

CVE-2021-3449: 拒绝服务漏洞

OpenSSL TLS服务器存在空指针漏洞，攻击者可利用该漏洞在未授权的情况下，构造恶意数据发送恶意的ClientHello请求，最终可造成服务器拒绝服务

CVE-2021-3450: 证书校验漏洞

该漏洞当开启X509_V_FLAG_X509_STRICT标志时将添加一项关于证书CA证书有效性的检查，而该检查中存在漏洞，导致验证结果被覆盖，攻击者可利用该漏洞在未授权的情况下，构造恶意数据伪造可信证书，并利用中间人攻击的攻击方式，最终可造成服务器敏感性信息泄露。

三、影响范围

openssl: 1.1.1h~1.1.1j

四、安全建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://openssl.en.softonic.com/

五、参考链接

1. https://www.openssl.org/news/vulnerabilities.html

2. https://www.openssl.org/news/secadv/20210325.txt

来源：https://cstis.cn/post/51ba8cd9-5fcf-b5c4-509b-c7f37d39ea0d