OpenSSL 修复可导致 DoS攻击的高危漏洞

最新推荐文章于 2022-11-04 14:01:53 发布
最新推荐文章于 2022-11-04 14:01:53 发布
阅读量393 收藏
点赞数
原文链接:https://www.codesafe.cn/#/home
版权

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

周二,OpenSSL 发布更新修复了一个可导致 DoS 攻击的高危漏洞。

OpenSSL Project 表示该漏洞编号为 CVE-2020-1967,它是存在于 SSL_check_chain 函数中的“分段错误”。

安全公告指出,“因对 ‘signature_algorithms_cert’ TLS 扩展的错误处理而引发的空解指针引用,会导致在 TLS 1.3 握手时或之后调用函数 SSL_check_chain() 的服务器或客户端应用崩溃。”另外,“如果从对等方接收到无效或无法识别的签名算法,则会发生崩溃。恶意对等方可在拒绝服务攻击中利用该漏洞。”

该漏洞影响 OpenSSL 版本 1.1.1d、1.1.1e 和1.1.1f,且已在版本 1.1.1g中修复。老旧版本 1.0.2和1.1.0不再接收安全更新,因此并不受该漏洞影响。

研究员 Bernd Edlinger 在4月7日将该漏洞告知 OpenSSL Project,他是通过最近推出的 GNU Compiler Collection(GCC) 静态代码分析器发现的。

这是2020年出现的首个影响 OpenSSL 的漏洞。自2014年爆发“心脏出血”漏洞后,OpenSSL 的安全性已得到提升。虽然在2014年爆发“心脏出血”漏洞至2016年年底期间,OpenSSL 被曝近12个严重和高危漏洞,但在2017年研究员仅发现1个高危漏洞,而在2018年和2019年,修复的所有问题均为中低危漏洞。

推荐阅读

BCS2019议题分享|开源软件安全实践与思考

每1000行代码有14个安全缺陷,开源软件的安全令人堪忧

原文链接

https://www.securityweek.com/high-severity-vulnerability-openssl-allows-dos-attacks

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    点个 “在看” ,加油鸭~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenSSL国密爆出8.1分高危漏洞CVE-2021-3711
YDclub的博客
09-03 3728
背景 OpenSSL是一个知名的开源安全套接字层密码库。全球成千上万的web服务器的网站加密技术使用OpenSSL。 网银、在线支付、电商网站、门户网站、电子邮件等互联网应用广泛使用OpenSSL实现数据的安全传输和安全存储。 历史上,OpenSSL多次出现安全漏洞。 2014年,OpenSSL爆出Heartbleed(心脏滴血)漏洞,网络出现了“致命内伤”。 心脏滴血称为互联网安全历史上最严重的漏洞之一,当时全球三分之二的网站可被该漏洞攻击。 心脏滴血漏洞的CVE编号是CVE-2014-016
openssl-1.0.1g heartbleed漏洞已经修复
04-09
**OpenSSL 1.0.1g 与 Heartbleed 漏洞修复详解** OpenSSL 是一个开源的加密库,广泛应用于各种网络服务,包括 HTTPS、SMTPS 和 FTPS 等,为互联网提供了安全通信的基础。在2014年4月8日,一个重大的安全漏洞被曝光...
OpenSSL 曝两个高危漏洞,CentOS、Ubuntu、Debian 等受影响
easylife206的专栏
11-04 693
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !Bleeping Computer 网站披露,OpenSSL 修补了其用于加密通信通道和 HTTPS 连接的开源密码库中两个高危漏洞漏洞分别追踪为 CVE-2022-3602 和 CVE-2022-3786,主要影响 OpenSSL 3.0.0 及更高版本,现已在 OpenSSL 3.0.7 中得到解决。据悉,CV...
OpenSSL 公布高危漏洞,建议升级
weixin_34234823的博客
06-08 207
OCSP状态请求延期导致无限的内存增长(CVE-2016-6304) 严重级别:高等 恶意的客户端会发送一个过大的OCSP状态请求延期。如果这个客户端不断请求重新协商,每次发送大量OCSP状态请求延期,这会使服务器的内存无限消耗。这最终会因为内存被耗尽而导致DoS攻击。使用默认配置的服务器是容易遭受攻击的,即使他们不支持OSCP。通过使用“无OCSP”配...
openssl heartbleed高危漏洞
kang_yf的专栏
04-10 440
openssl heartbleed高危漏洞 http://www.yysuo.com/itdoc/secdoc.html
OpenSSL高危漏洞,心脏又要大出血?
weixin_34128839的博客
06-08 84
还记得那个因为“心脏出血”而一夜成名的OpenSSL协议吗?它又有漏洞了。一组负责为加密协议OpenSSL做技术支持的开发人员,发现了一个新的神秘“高危漏洞OpenSSL是诸如Apache和Nginx这样的开源网络服务器所使用的安全协议,这些网站占到世界上所有网站的66%。当2014年一个代号为Heartbleed的巨大安全漏洞被发现时,全世界都知道...
OpenSSL“心血”漏洞检测及修复指南
06-24
### OpenSSL“心血”漏洞检测及修复指南 #### 一、心血漏洞概述 心血漏洞(Heartbleed Bug)是2014年在广泛使用的开源安全软件库OpenSSL中发现的一个严重安全漏洞。该漏洞允许攻击者通过利用OpenSSL实现的心跳功能...
openssh-9.6.tar.gz版本,最新版本修复openssh命令注入漏洞
01-17
openssh-9.6.tar.gz版本,最新版本修复openssh命令注入漏洞,OpenSSH是使用SSH协议进行远程登录的首要连接工具。它对所有流量进行加密,以消除窃听、连接劫持和其他攻击。此外,OpenSSH提供了一大套安全隧道功能、几...
ssh+漏洞修复+openssh-8.8p1.tar.gz、openssl-1.1.1s.tar.gz
09-26
4. **安全漏洞修复**:修复了已知的安全漏洞,比如缓冲区溢出、拒绝服务攻击或其他类型的安全风险。 5. **审计和日志功能**:增强了审计和日志记录,帮助管理员检测和响应潜在的入侵尝试。 其次,OpenSSL 1.1.1s的...
centos7升级至openssl(3.3.1)、openssh(9.8).txt
07-04
核弹级漏洞修复,ssh升级至最新版本,详细操作,无坑,超级详细
使用OpenSSL进行CA证书操作的DOS脚本
11-17
使用OpenSSL进行CA证书操作的DOS脚本。 OpenSSL的功能很强大,但没有一个图形界面,全靠记住各种命令来使用,操作起来甚是不便,所以找了一些DOS脚本,来简化操作。 说明: OpenSSL是开源(OpenSource)软件,欢迎大家传播。
OpenSSL再爆多处高危漏洞
weixin_30518397的博客
06-05 138
OpenSSL团队于北京时间6月5号晚8点左右发布了5个安全补丁,这次的更新涉及多处高危漏洞,连接:http://www.openssl.org/news/ 受影响的版本包括: OpenSSL 1.0.1 through 1.0.1g OpenSSL 1.0.0 through 1.0.0l all versions before OpenSSL 0.9.8y...
openssl 安装_Openssl命令行用法简介
weixin_39836536的博客
12-06 459
Windows系统下可直接安装Openssl集成工具,省去编译等环节,操作简单,效率高。总体分为三个步骤,即下载安装包、安装并配置环境变量和检测三部分。步骤一:可直接到官网https://slproweb.com/products/Win32OpenSSL.html下载所需安装包,安装包存在多版本,如下图所示。步骤二:安装配置环境变量下载了exe或者msi安装文件后,直接安装即可。安装完成后,需将...
OpenSSL 代码问题漏洞(CVE-2020-1971)(CVE-2020-1967)
lanren312的博客
06-23 3887
突然接到任务要维护服务器,一脸懵逼,硬着头皮上.....Openssl OpenSSL 代码问题漏洞(CVE-2020-1967) 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.openssl.org/news/secadv/20200421.txt文档中指出:这些版本的用户应升级到 OpenSSL 1.1.1。Openssl OpenSSL 代码问题漏洞(CVE-2020-1967) 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.openssl.
openSSL漏洞升级(CVE-2020-1967)
qq_27884227的博客
11-04 987
openssl漏洞修复升级至OpenSSL 1.1.1h
openssh以及openssl升级
qq_44847658的博客
09-24 1330
背景:环境扫描出openssh以及openssl漏洞,整理升级步骤和升级所遇到的问题 升级过程中新的ssh连接可能会无法建立,但不影响业务正常运行,也不会造成业务数据丢失 为避免升级过程中因操作等原因导致无法连接服务器,需要先安装telnet服务,并测试通过telnet登录 openssh版本:8.6p1 openssl版本:1.1.1k 一、安装openssl #安装依赖 yum install -y gcc zlib-devel openssl-devel pam-devel libselinux-d
Openssl源代码整理学习
weixin_34346099的博客
04-12 498
一、基础知识 1.Openssl简史 OpenSSL项目是加拿大人EricA.Yang和TimJ.Hudson开发,现在有Openssl项目小组负责改进和维护;他们是全球一些技术精湛的志愿技术人员,他们的劳动是无偿的,在此我们应该向他们表示崇高的敬意。 Openssl最早的版本在1995年发布,1998年开始由Openssl项目组维护; 当前最新版本为OpenSSL1.0.1;...
OpenSSL 修复三个新漏洞
smellycat000的专栏
02-18 2478
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队本周二,OpenSSL Project 发布三个漏洞的补丁,其中两个可被用于发动拒绝服务攻击,一个和不安全的 SSLv2 回滚...
openssl升级_CVE-2020-1967: openssl 拒绝服务漏洞通告
weixin_39922683的博客
12-06 478
0x01 漏洞背景2020年04月21日, 360CERT监测发现 openssl 官方发布了 TLS 1.3 组件拒绝服务漏洞 的风险通告,该漏洞编号为 CVE-2020-1967,漏洞等级:高危openssl 是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信。这个包广泛被应用在互联网的网页服务器上。其主要库是以C语言所写成,实现了基本的加密功能,实现了SSL与TLS协议。op...
[毕业设计]VB环境下电脑销售与财务管理系统开发(ACCESS+源代码+论文).zip
最新发布
08-05
[毕业设计]VB环境下电脑销售与财务管理系统开发(ACCESS+源代码+论文)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值