聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
周二,OpenSSL 发布更新修复了一个可导致 DoS 攻击的高危漏洞。
OpenSSL Project 表示该漏洞编号为 CVE-2020-1967,它是存在于 SSL_check_chain 函数中的“分段错误”。
安全公告指出,“因对 ‘signature_algorithms_cert’ TLS 扩展的错误处理而引发的空解指针引用,会导致在 TLS 1.3 握手时或之后调用函数 SSL_check_chain() 的服务器或客户端应用崩溃。”另外,“如果从对等方接收到无效或无法识别的签名算法,则会发生崩溃。恶意对等方可在拒绝服务攻击中利用该漏洞。”
该漏洞影响 OpenSSL 版本 1.1.1d、1.1.1e 和1.1.1f,且已在版本 1.1.1g中修复。老旧版本 1.0.2和1.1.0不再接收安全更新,因此并不受该漏洞影响。
研究员 Bernd Edlinger 在4月7日将该漏洞告知 OpenSSL Project,他是通过最近推出的 GNU Compiler Collection(GCC) 静态代码分析器发现的。
这是2020年出现的首个影响 OpenSSL 的漏洞。自2014年爆发“心脏出血”漏洞后,OpenSSL 的安全性已得到提升。虽然在2014年爆发“心脏出血”漏洞至2016年年底期间,OpenSSL 被曝近12个严重和高危漏洞,但在2017年研究员仅发现1个高危漏洞,而在2018年和2019年,修复的所有问题均为中低危漏洞。
推荐阅读
原文链接
https://www.securityweek.com/high-severity-vulnerability-openssl-allows-dos-attacks
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~