DHS-CISA敦促管理员修补OpenSSL DoS漏洞

发布时间:2020-12-11 10:34:00

  本周,OpenSSL发布了一个影响开源项目的高严重性拒绝服务(DoS)漏洞的修复程序。

  U.S. DHS 网络安全局和基础设施安全局已经警告他们的网络安全管理人员立即升级他们的安全设施。




  由SSL证书名称验证中的空指针引起


  CVE-2020-1971跟踪的高严重性漏洞源于空指针取消引用问题。

  正如X.509标准所指定的,SSL证书在不同的地方使用GeneralName类型来表示不同类型的名称。

  GeneralName对象可以是IP地址、DNS名称、URL标识符,甚至可以是“EDIPartyName”

  在验证X.509ssl证书时,OpenSSL使用GENERAL_NAME_cmp函数来比较两个GeneralName字段。

  但是,如果要比较的两个字段都包含EDIPartyName,则OpenSSL可能会由于空指针取消引用错误而崩溃。

  例如,OpenSSL advisory指出,当OpenSSL验证证书的CRL(证书吊销列表)分发点字段时,使用GENERAL_NAME_cmp函数的一个地方。

  大多数SSL证书本身都包含所谓的CRL分发点字段。

  此字段指定证书颁发者发布可由客户端检查的已吊销证书列表(如web浏览器)的位置。

  回想一下,GenericName不必是URL,也可以指定为IP地址或EDIPartyName。

  如果攻击者能够创建一个包含EDIPartyName字段的SSL证书来指定CRL详细信息,以及恶意CRL本身,则在比较这两个字段时,GENERAL_NAME_cmp函数可能会触发应用程序崩溃并导致拒绝服务(DoS)情况。

  但是,这只是利用此漏洞的方法之一。

  OpenSSL中使用GENERAL_NAME_cmp函数的另一个地方是将时间戳响应令牌签名者与时间戳授权名称进行比较。


  CISA敦促管理员升级


  Google的David Benjamin于2020年11月9日报告说,此漏洞会影响OpenSSL 1.0.2和1.1.1(1.1.1i之前)的所有版本。

  在对错误进行分析之后,OpenSSL的Matt Caswell在1.1.1i版本中部署了一个修复程序。

  2014年,OpenSSL中严重的心血漏洞在野外猖獗的攻击之后成为头条新闻。

  这也许就是为什么CISA发布了CVE-2020-1971的安全建议,促使服务器管理员立即升级他们的OpenSSL实例。

  OpenSSL 1.1.1的用户可以升级到1.1.1i版本。对openssl1.0.2及更早版本的产品支持已经过时,因此只有高级用户才可以获得补丁的1.0.2x版本。一般用户应升级到1.1.1i版本。


  【参考来源:bleepingcomputer】

最新发布
1
天威21周年庆大促来袭|SSL证书限时特惠,给礼更给利!
2
SSL证书过期?后果很严重!
3
疫情防控常态化,企业信息安全将同步迎来“大考”
4
SM2算法对比RSA算法,到底强在哪?
5
免费or付费?人类高质量SSL证书怎么选!
6
国务院颁发信息安全条例 国密SM2算法势在必行
7
东京奥运会被钓鱼网站攻击,如何破局?
8
Google再次发声,浏览器安全措施再度升级
9
天威诚信小课堂:SSL 证书使用过程中的常见问题及解决方法
10
打开网站显示您与此网站建立的连接不安全怎么办?
相关推荐
年中大促来袭|SSL证书618盛惠热浪即将开启
自动化虽好,可不要“贪杯”哟~~
SM2算法对比RSA算法,到底强在哪?
免费or付费?人类高质量SSL证书怎么选!
面试被问HTTPS结果卡壳?笑死,这你都不懂
OpenSSL项目发布1.1.1k版本来修复两个高严重性缺陷
东京奥运会被钓鱼网站攻击,如何破局?
Google再次发声,浏览器安全措施再度升级
央企信息化,需要来点安全保障
美国燃油管道竟被黑客封锁,吓!到底怎么才能确保数据安全?