4006-555-883

OpenSSL项目发布1.1.1k版本来修复两个高严重性缺陷

发布时间:2021-03-30 17:40:00

  OpenSSL项目解决了两个高严重性漏洞,其中一个与验证证书链相关,另一个可以触发DoS条件。


  OpenSSL项目本周发布了1.1.1k版本,以解决两个高严重性漏洞,分别跟踪为CVE-2021-3450和CVE-2021-3449。

  通过从客户端发送精心编制的重新协商Clientsello消息,可以利用CVE-2021-3449漏洞触发DoS条件。

  “如果从客户端发送精心编制的重新协商Clientsello消息,OpenSSL TLS服务器可能会崩溃。如果TLSv1.2重新协商Clientsello省略签名\u算法扩展(在初始Clientsello中存在),但包含签名\u算法证书扩展,则将导致空指针取消引用,导致崩溃和拒绝服务攻击”,则说明该建议。

  此问题影响运行TLS 1.2并启用重新协商的OpenSSL 1.1.1版本的服务器,这是默认配置。该漏洞由诺基亚的PeterKästle和SamuelSapalski报告。

  CVE-2021-3450漏洞与使用X509_UV_U标志\u X509\u严格标志与证书链的验证有关。

  “The X509_V_FLAG_X509_STRICT 标志允许对证书链中存在的证书进行额外的安全检查。默认情况下未设置。从OpenSSL版本1.1.1h开始,添加了一个检查,以禁止在链中显式编码椭圆曲线参数的证书,作为额外的严格检查添加。“此检查的实现意味着,先前检查的结果将被覆盖,以确认链中的证书是有效的CA证书。这有效地绕过了非CA证书不能颁发其他证书的检查

  Akamai的BenjaminKaduk和项丁报告了该漏洞。

  2021年2月,OpenSSL项目发布了安全补丁,以解决三个漏洞、两个拒绝服务(DoS)缺陷和错误的SSLv2回滚保护问题。

  【参考来源:securityaffairs.co】

最新发布
1
@所有网站运营者,SSL证书过期不要慌
2
88%企业遭受DNS攻击 SSL证书为您的DNS安全护航
3
短链接钓鱼再度肆虐 部署高等级SSL证书杜绝安全隐患
4
天威诚信小课堂 | 原来……http协议竟是这么的脆弱
5
DigiCert 年度峰会:全球网络攻击加剧,SSL证书服务护航国内企业数字化转型
6
网站信息安全成国际焦点,部署适配SSL证书时不我待
7
3分钟,我要知道SSL证书的全部信息!
8
令人震惊!1862起数据泄漏事件,如何确保你的数据安全?
9
敲黑板!SSL证书常见七大问题答疑来啦!
10
全球去年数据泄露已超过去15年总和!谁来捍卫我们的信息安全?
相关推荐
3分钟,我要知道SSL证书的全部信息!
天威诚信小课堂 | 原来……http协议竟是这么的脆弱
令人震惊!1862起数据泄漏事件,如何确保你的数据安全?
网站信息安全成国际焦点,部署适配SSL证书时不我待
短链接钓鱼再度肆虐 部署高等级SSL证书杜绝安全隐患
DigiCert 年度峰会:全球网络攻击加剧,SSL证书服务护航国内企业数字化转型
88%企业遭受DNS攻击 SSL证书为您的DNS安全护航
@所有网站运营者,SSL证书过期不要慌