4006-555-883

CVE-2020-1967:OpenSSL拒绝服务漏洞警报

发布时间:2020-04-23 10:48:00

  最近,openssl正式发布了TLS 1.3组件拒绝服务漏洞的风险通知,漏洞编号为CVE-2020-1967,且漏洞级别为高风险。



  OpenSSL是用于应用程序的软件库,可保护计算机网络上的通信免遭窃听或需要识别另一方的身份。它被Internet服务器广泛使用,包括大多数HTTPS网站。 TLS(传输层安全性)是一种安全协议,其目的是为Internet通信提供安全性和数据完整性保证。该协议在浏览器,电子邮件,即时消息,VoIP和Internet传真等应用程序中得到广泛支持。该协议现已成为Internet上安全通信的行业标准。

  openssl中存在一个拒绝服务漏洞。攻击者可以发送特制的请求数据包,以使目标主机服务崩溃或拒绝服务。

  漏洞详情

  “在TLS 1.3握手期间或之后调用SSL_check_chain()函数的服务器或客户端应用程序可能会由于对NULL指针的取消引用而导致崩溃,这是由于对'signature_algorithms_cert'TLS扩展的不正确处理导致的,”阅读OpenSSL项目发布的建议。

  “如果从对等方收到无效或无法识别的签名算法,则会发生崩溃。恶意对等方可以在拒绝服务攻击中利用此漏洞。”

  受影响的版本

  openssl:1.1.1d

  openssl:1.1.1e

  openssl:1.1.1f

  解决方法:

  升级到1.1.1g版本

  【内容来源:Linux公社】

最新发布
1
小威开讲啦 | Nginx如何实现OCSPStapling
2
小威开讲啦 | 如何修复 POODLE SSLv3 安全漏洞 (CVE-2014-3566)
3
HTTPS证书如何选择?
4
不用怀疑!SSL证书国产化已成必然趋势
5
为什么国家一直大力推行国密SSL证书?
6
原来除企业网站外,这些场景全都需要SSL证书……
7
请查收这份国密SSL改造方案,超200家头部企业用了都说好!
8
隐私风险跃居国内首要网络隐患?尽快部署SSL证书为网站加上“安全锁”
9
信息泄露成网络诈骗犯罪源头,SSL证书为敏感信息穿上“防护衣”
10
怕过期?怕麻烦?你需要SSL证书订阅模式!
相关推荐
短链接钓鱼再度肆虐 部署高等级SSL证书杜绝安全隐患
不用怀疑!SSL证书国产化已成必然趋势
隐私风险跃居国内首要网络隐患?尽快部署SSL证书为网站加上“安全锁”
88%企业遭受DNS攻击 SSL证书为您的DNS安全护航
小威开讲啦 | 如何修复 POODLE SSLv3 安全漏洞 (CVE-2014-3566)
为什么国家一直大力推行国密SSL证书?
请查收这份国密SSL改造方案,超200家头部企业用了都说好!
HTTPS证书如何选择?
原来除企业网站外,这些场景全都需要SSL证书……
信息泄露成网络诈骗犯罪源头,SSL证书为敏感信息穿上“防护衣”