4006-555-883

DHS-CISA敦促管理员修补OpenSSL DoS漏洞

发布时间:2020-12-11 10:34:00

  本周,OpenSSL发布了一个影响开源项目的高严重性拒绝服务(DoS)漏洞的修复程序。

  U.S. DHS 网络安全局和基础设施安全局已经警告他们的网络安全管理人员立即升级他们的安全设施。




  由SSL证书名称验证中的空指针引起


  CVE-2020-1971跟踪的高严重性漏洞源于空指针取消引用问题。

  正如X.509标准所指定的,SSL证书在不同的地方使用GeneralName类型来表示不同类型的名称。

  GeneralName对象可以是IP地址、DNS名称、URL标识符,甚至可以是“EDIPartyName”

  在验证X.509ssl证书时,OpenSSL使用GENERAL_NAME_cmp函数来比较两个GeneralName字段。

  但是,如果要比较的两个字段都包含EDIPartyName,则OpenSSL可能会由于空指针取消引用错误而崩溃。

  例如,OpenSSL advisory指出,当OpenSSL验证证书的CRL(证书吊销列表)分发点字段时,使用GENERAL_NAME_cmp函数的一个地方。

  大多数SSL证书本身都包含所谓的CRL分发点字段。

  此字段指定证书颁发者发布可由客户端检查的已吊销证书列表(如web浏览器)的位置。

  回想一下,GenericName不必是URL,也可以指定为IP地址或EDIPartyName。

  如果攻击者能够创建一个包含EDIPartyName字段的SSL证书来指定CRL详细信息,以及恶意CRL本身,则在比较这两个字段时,GENERAL_NAME_cmp函数可能会触发应用程序崩溃并导致拒绝服务(DoS)情况。

  但是,这只是利用此漏洞的方法之一。

  OpenSSL中使用GENERAL_NAME_cmp函数的另一个地方是将时间戳响应令牌签名者与时间戳授权名称进行比较。


  CISA敦促管理员升级


  Google的David Benjamin于2020年11月9日报告说,此漏洞会影响OpenSSL 1.0.2和1.1.1(1.1.1i之前)的所有版本。

  在对错误进行分析之后,OpenSSL的Matt Caswell在1.1.1i版本中部署了一个修复程序。

  2014年,OpenSSL中严重的心血漏洞在野外猖獗的攻击之后成为头条新闻。

  这也许就是为什么CISA发布了CVE-2020-1971的安全建议,促使服务器管理员立即升级他们的OpenSSL实例。

  OpenSSL 1.1.1的用户可以升级到1.1.1i版本。对openssl1.0.2及更早版本的产品支持已经过时,因此只有高级用户才可以获得补丁的1.0.2x版本。一般用户应升级到1.1.1i版本。


  【参考来源:bleepingcomputer】

最新发布
1
什么是EV代码签名证书
2
小威技术贴 | Apache单IP如何配置多个HTTPS虚拟主机
3
小威开讲啦 | Nginx如何实现OCSPStapling
4
小威开讲啦 | 如何修复 POODLE SSLv3 安全漏洞 (CVE-2014-3566)
5
HTTPS证书如何选择?
6
不用怀疑!SSL证书国产化已成必然趋势
7
为什么国家一直大力推行国密SSL证书?
8
原来除企业网站外,这些场景全都需要SSL证书……
9
请查收这份国密SSL改造方案,超200家头部企业用了都说好!
10
隐私风险跃居国内首要网络隐患?尽快部署SSL证书为网站加上“安全锁”
相关推荐
小威开讲啦 | 如何修复 POODLE SSLv3 安全漏洞 (CVE-2014-3566)
信息泄露成网络诈骗犯罪源头,SSL证书为敏感信息穿上“防护衣”
小威开讲啦 | Nginx如何实现OCSPStapling
怕过期?怕麻烦?你需要SSL证书订阅模式!
小威技术贴 | Apache单IP如何配置多个HTTPS虚拟主机
不用怀疑!SSL证书国产化已成必然趋势
原来除企业网站外,这些场景全都需要SSL证书……
为什么国家一直大力推行国密SSL证书?
@所有网站运营者,SSL证书过期不要慌
什么是EV代码签名证书