当前位置: 首页 > 网络安全 > 网络安全预警信息 > 正文

OpenSSL拒绝服务、证书绕过漏洞(CVE-2021-3449、CVE-2021-3450)预警

日期:2021-04-09阅读:

一、 基本情况

OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,同时确认连接者身份。这个包广泛被应用在互联网的网页服务器上。2021年03月25日,OpenSSL官方更新了漏洞披露列表,通告披露了OpenSSL组件存在拒绝服务、证书绕过漏洞,漏洞编号:CVE-2021-3449、CVE-2021-3450。

二、 漏洞描述

CVE-2021-3449: 拒绝服务漏洞

OpenSSL TLS服务器存在空指针漏洞,攻击者可利用该漏洞在未授权的情况下,构造恶意数据发送恶意的ClientHello请求,最终可造成服务器拒绝服务

CVE-2021-3450: 证书校验漏洞

该漏洞当开启X509_V_FLAG_X509_STRICT标志时将添加一项关于证书CA证书有效性的检查,而该检查中存在漏洞,导致验证结果被覆盖,攻击者可利用该漏洞在未授权的情况下,构造恶意数据伪造可信证书,并利用中间人攻击的攻击方式,最终可造成服务器敏感性信息泄露。

三、影响范围

openssl: 1.1.1h~1.1.1j

四、安全建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://openssl.en.softonic.com/

五、参考链接

1. https://www.openssl.org/news/vulnerabilities.html

2. https://www.openssl.org/news/secadv/20210325.txt

来源:https://cstis.cn/post/51ba8cd9-5fcf-b5c4-509b-c7f37d39ea0d

我是盾盾