OpenSSL 修复三个新漏洞

最新推荐文章于 2024-07-19 09:17:00 发布
最新推荐文章于 2024-07-19 09:17:00 发布
阅读量2.4k 收藏
点赞数 1
文章标签: 指针 https 微软 openssl 安全
原文链接:https://codesafe.qianxin.com/#/home
版权

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

本周二,OpenSSL Project 发布三个漏洞的补丁,其中两个可被用于发动拒绝服务攻击,一个和不安全的 SSLv2 回滚防护机制有关。

其中最重要的漏洞被评为“中危“级别,编号为 CVE-2021-23841,是一个 NULL 指针引用问题,可导致崩溃和 DoS 条件。该漏洞和函数 (X509_issuer_and_serial_hash) 有关,不过 OpenSSL 从未直接调用该函数,意味着它仅影响直接使用该函数(证书源自不受信任来源)的应用程序。

谷歌 Project Zero 团队的安全研究员 Tavis Ormandy 将缺陷告知 OpenSSL 开发人员,后者在 OpenSSL 1.1.1j中修复。版本1.1.1i和更早版本受影响。

OpenSSL 1.1.1j 同时修复了可导致崩溃后果的一个低危的整数溢出,编号为 CVE-2021-23840,是由 Paul Kehrer 发现的。

Trustwave 公司的安全研究员发现了另外一个低危漏洞 CVE-2021-23939。使用 OpenSSL 1.0.2 的服务器易受 SSL 版本回滚攻击影响。然而,只有某些配置易受攻击,OpenSSL 1.1.1 不受影响。该漏洞已在版本1.0.2y 中修复。不过由于 OpenSSL 1.0.2 不受支持,因此该更新仅适用于付费用户。

自2014年“心脏出血”漏洞爆发后,OpenSSL 的安全性就备受关注。2020年仅修复3个漏洞,其中2个可用于发动 DoS 攻击,为“高危”漏洞。2018年和2019年并未出现任何高危漏洞。

推荐阅读

OpenSSL 修复可导致 DoS攻击的高危漏洞

“心脏出血”后,OpenSSL 起死回生靠什么?

原文链接

https://www.securityweek.com/three-new-vulnerabilities-patched-openssl

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Openssl漏洞修复
hard_refuse_back的博客
12-14 2310
OpenSSL漏洞修复脚本 漏洞描述 OpenSSL官方发布安全公告,披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp 拒绝服务漏洞。当两个GENERAL_NAME都包含同一个EDIPARTYNAME时,由于GENERAL_NAME_cmp函数未能正确处理,从而导致空指针引用,并可能导致拒绝服务 修复方案 将OpenSSL修复安全版本 安全版本 OpenSSL 1.1.1i OpenSSL 1.0.2x 1.背景 由于多台主机存...
openssl漏洞升级修复的问题
WADD_ST的博客
10-26 3202
linux手 闲来无事搞了个腾讯云,开机后不知道哪来干点什么,当晚收到信息,检测到OpenSSL 拒绝服务漏洞(CVE-2021-3449)、OpenSSL 缓冲区溢出漏洞CVE-2021-3711)、OpenSSL 拒绝服务漏洞(CVE-2020-1971) emmmmm 那就试试修复漏洞,第一次搞,make很多次,各种不成功,ln到ssh找不到,最后重装了事。这次就虚拟机测试,完成后上云。所以有了这次笔记。 腾...
OPEN SSL 漏洞 CVE-2022-0778
wangbaosongmsn的博客
06-20 742
openssl 漏洞
开发日志:OpenSSL 信息泄露漏洞
最新发布
老罗传奇
07-19 375
漏洞名称:SSL/TLS协议信息泄露漏洞(CVE-2016-2183) 漏洞危害:TLS、SSH 和 IPSec 协议以及其他协议和产品中使用的 DES 和 Triple DES 密码的生日限制约为 40 亿个块,这使得远程攻击者更容易通过生日攻击获取明文数据长时间的加密会话,如 CBC 模式下使用 Triple DES 的 HTTPS 会话所示,也称为“Sweet32”攻击 参考资料:http...
Centos7修复OpenSSL 安全漏洞 (CVE-2022-0778)
qq_53058639的博客
02-01 1729
centos7环境下OpenSSL拒绝服务漏洞(CVE-2022-0778)OpenSSL3.0OpenSSL拒绝服务漏洞(CVE-2022-0778):该漏洞是由于OpenSSL中的BN_mod_sqrt()函数存在解析错误,由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书场景都可能受到拒绝服务攻击,攻击者可在未授权的情况下通过构造特定证书来触发无限循环,执行拒绝服务攻击,最终使服务器无法提供服务。
OpenSSL 拒绝服务、证书绕过漏洞通告
爱国小白帽
03-26 1737
报告编号:B6-2021-032601 报告来源:360CERT 报告作者:360CERT 更日期:2021-03-26 0x01漏洞简述 2021年03月26日,360CERT监测发现OpenSSL发布了OpenSSL安全风险通告,漏洞编号为CVE-2021-3450,CVE-2021-3449,漏洞等级:高危,漏洞评分:8.8。 OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,同时确认连接者身份。这个包广泛被应用在互联网的网页服务器上。例如:cisco设备,ap.
OpenSSL“心血”漏洞检测及修复指南
06-24
心血漏洞(Heartbleed Bug)是2014年在广泛使用的开源安全软件库OpenSSL中发现的一个严重安全漏洞。该漏洞允许攻击者通过利用OpenSSL实现的心跳功能获取服务器内存中的敏感数据,包括私钥、密码和个人数据等。此漏洞...
openssl 1.1.1m最rpm包,可直接升级
03-02
4. **安全性更**: 定期发布安全补丁,修复已知漏洞,保护系统免受攻击。 **CentOS Linux 中的 OpenSSL 升级** 对于 CentOS Linux 用户来说,保持 OpenSSL 的最状态是保障系统安全的重要环节。OpenSSL 1.1.1m ...
OpenSSL国密爆出8.1分高危漏洞CVE-2021-3711
YDclub的博客
09-03 3767
背景 OpenSSL是一个知名的开源安全套接字层密码库。全球成千上万的web服务器的网站加密技术使用OpenSSL。 网银、在线支付、电商网站、门户网站、电子邮件等互联网应用广泛使用OpenSSL实现数据的安全传输和安全存储。 历史上,OpenSSL多次出现安全漏洞。 2014年,OpenSSL爆出Heartbleed(心脏滴血)漏洞,网络出现了“致命内伤”。 心脏滴血称为互联网安全历史上最严重的漏洞之一,当时全球三分之二的网站可被该漏洞攻击。 心脏滴血漏洞CVE编号是CVE-2014-016
openssh漏洞修复
Top725的博客
06-09 3649
** 一、升级环境 ** Red-Hat 6.8版本 ** 二、 OpenSSH升级准备 ** 2.1 升级思路考虑到OpenSSH升级采用远程连接方式升级,为保证升级正常,将采telnet连接来进行升级操作,依次进行OpenSSH原配置文件备份、旧版本OpenSSH删除、安装版本OpenSSH。 2.2 下载所需的安装包, 此次安装需要安装包如下telnet服务所需的安装包: teln...
Oracle+Weblogic+Server+Java反序列化漏洞 解决方案
04-20
Oracle+Weblogic+Server+Java反序列化漏洞 解决方案 Oracle+Weblogic+Server+Java反序列化漏洞 解决方案
修复open-ssl漏洞,升级open-ssl版本
weixin_30882895的博客
05-09 244
升级openssl环境至openssl-1.0.1g 1、查看源版本 [root@zj ~]# openssl version -a OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008 2、下载openssl-1.0.1g.tar.gz wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz ...
关于python安装过程中自动编译生成的dll文件漏洞修复——CVE-2021-23840
lwn556u5ut的博客
03-26 1022
漏洞详情:https://nvd.nist.gov/vuln/detail/CVE-2021-23840 python安装过程中会自动编译两个文件libcrypto-1_1.dll,libssl-1_1.dll在python/DLLs路径下 这两个都是漏洞文件 1.1.1g版本包含漏洞,升级到1.1.1k就可以修复漏洞 openssl 1.1.1k下载地址:http://slproweb.com/products/Win32OpenSSL.html 我下载的是Win32 OpenSSL
openssl安全漏洞解决方案
嵌嵌的爱
12-29 4648
包括openssl和openssh升级,报错,安全漏洞解决等相关内容
【信息安全】Oracle发布2021年第三季度weblogic漏洞公告
cnskylee的博客
07-21 932
Oracle于7月20日(北京时间大约7月21日凌晨)发布了2021年第三季度旗下产品的漏洞公告。 其中涉及Oracle WebLogic中间件产品(Oracle仍在提供技术支持的版本)的漏洞共 7 个,CVSS基础分值(分值越高,安全风险等级越高,10分为满分)为 9.8 分有三个,分别是CVE-2021-2394、CVE-2021-2397、CVE-2021-2382,受影响的版本则包括了目前Oracle官方仍在提供技术支持(部分技术支持为延长)的全部五个主流版本。 10...
OpenSSL简介
发呆的程序猿
04-20 1688
OpenSSL简介 SSL,Security Socket Layer,是一个安全传输协议,在Internet网上进行数据保护和身份确认。OpenSSL是一个开放源代码的实现了SSL及相关加密技术的软件包,由加拿大的Eric Yang等发起编写的。OpenSSL的官方网站为http://www.openssl.org/,源代码可以从ftp://ftp.openssl.org/source...
Openssl源代码整理学习
weixin_34346099的博客
04-12 500
一、基础知识 1.Openssl简史 OpenSSL项目是加拿大人EricA.Yang和TimJ.Hudson开发,现在有Openssl项目小组负责改进和维护;他们是全球一些技术精湛的志愿技术人员,他们的劳动是无偿的,在此我们应该向他们表示崇高的敬意。 Openssl最早的版本在1995年发布,1998年开始由Openssl项目组维护; 当前最版本为OpenSSL1.0.1;...
openssl 1.0.2 漏洞修复指南
桀骜不逊
04-03 8341
项目初衷 因为Openssl1.0.2版本,官方已不再维护开源版本。Openssl-1.0.2u为最的1.0.2正式发布的开源版本。 但是,Openssl-1.0.2u后续又爆出了一些漏洞,官方又不再维护,如何解决这些漏洞呢? 1. 大版本升级,升级到1.1.1系列,或者3.x.x版本。 2. 将漏洞修复代码合入到1.0.2u,继续使用1.0.2u。 考虑到项目中使用openssl大版本升级影响较大,项目中依赖openssl的原有模块都需要修改并重编译。所以,本文重点介绍第二种解决方案。 Openss
openssl-1.0.2 有几个版本
07-20
然后是OpenSSL-1.0.2c,这是OpenSSL-1.0.2系列的第三个版本。它在之前版本的基础上进行了一些改进,并针对一些安全问题进行了修复。 最后是OpenSSL-1.0.2d,这是OpenSSL-1.0.2系列的最版本。它解决了一些已知的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值