4006-555-883

DHS-CISA敦促管理员修补OpenSSL DoS漏洞

发布时间:2020-12-11 10:34:00

  本周,OpenSSL发布了一个影响开源项目的高严重性拒绝服务(DoS)漏洞的修复程序。

  U.S. DHS 网络安全局和基础设施安全局已经警告他们的网络安全管理人员立即升级他们的安全设施。




  由SSL证书名称验证中的空指针引起


  CVE-2020-1971跟踪的高严重性漏洞源于空指针取消引用问题。

  正如X.509标准所指定的,SSL证书在不同的地方使用GeneralName类型来表示不同类型的名称。

  GeneralName对象可以是IP地址、DNS名称、URL标识符,甚至可以是“EDIPartyName”

  在验证X.509ssl证书时,OpenSSL使用GENERAL_NAME_cmp函数来比较两个GeneralName字段。

  但是,如果要比较的两个字段都包含EDIPartyName,则OpenSSL可能会由于空指针取消引用错误而崩溃。

  例如,OpenSSL advisory指出,当OpenSSL验证证书的CRL(证书吊销列表)分发点字段时,使用GENERAL_NAME_cmp函数的一个地方。

  大多数SSL证书本身都包含所谓的CRL分发点字段。

  此字段指定证书颁发者发布可由客户端检查的已吊销证书列表(如web浏览器)的位置。

  回想一下,GenericName不必是URL,也可以指定为IP地址或EDIPartyName。

  如果攻击者能够创建一个包含EDIPartyName字段的SSL证书来指定CRL详细信息,以及恶意CRL本身,则在比较这两个字段时,GENERAL_NAME_cmp函数可能会触发应用程序崩溃并导致拒绝服务(DoS)情况。

  但是,这只是利用此漏洞的方法之一。

  OpenSSL中使用GENERAL_NAME_cmp函数的另一个地方是将时间戳响应令牌签名者与时间戳授权名称进行比较。


  CISA敦促管理员升级


  Google的David Benjamin于2020年11月9日报告说,此漏洞会影响OpenSSL 1.0.2和1.1.1(1.1.1i之前)的所有版本。

  在对错误进行分析之后,OpenSSL的Matt Caswell在1.1.1i版本中部署了一个修复程序。

  2014年,OpenSSL中严重的心血漏洞在野外猖獗的攻击之后成为头条新闻。

  这也许就是为什么CISA发布了CVE-2020-1971的安全建议,促使服务器管理员立即升级他们的OpenSSL实例。

  OpenSSL 1.1.1的用户可以升级到1.1.1i版本。对openssl1.0.2及更早版本的产品支持已经过时,因此只有高级用户才可以获得补丁的1.0.2x版本。一般用户应升级到1.1.1i版本。


  【参考来源:bleepingcomputer】

最新发布
1
88%企业遭受DNS攻击 SSL证书为您的DNS安全护航
2
短链接钓鱼再度肆虐 部署高等级SSL证书杜绝安全隐患
3
天威诚信小课堂 | 原来……http协议竟是这么的脆弱
4
DigiCert 年度峰会:全球网络攻击加剧,SSL证书服务护航国内企业数字化转型
5
网站信息安全成国际焦点,部署适配SSL证书时不我待
6
3分钟,我要知道SSL证书的全部信息!
7
令人震惊!1862起数据泄漏事件,如何确保你的数据安全?
8
敲黑板!SSL证书常见七大问题答疑来啦!
9
全球去年数据泄露已超过去15年总和!谁来捍卫我们的信息安全?
10
天威21周年庆大促来袭|SSL证书限时特惠,给礼更给利!
相关推荐
短链接钓鱼再度肆虐 部署高等级SSL证书杜绝安全隐患
88%企业遭受DNS攻击 SSL证书为您的DNS安全护航
令人震惊!1862起数据泄漏事件,如何确保你的数据安全?
天威诚信小课堂 | 原来……http协议竟是这么的脆弱
DigiCert 年度峰会:全球网络攻击加剧,SSL证书服务护航国内企业数字化转型
3分钟,我要知道SSL证书的全部信息!
网站信息安全成国际焦点,部署适配SSL证书时不我待