cvss漏洞评分标准_CVE20201971 | OpenSSL拒绝服务漏洞通告

最新推荐文章于 2024-05-14 21:58:05 发布
最新推荐文章于 2024-05-14 21:58:05 发布
阅读量432 收藏
点赞数
文章标签: cvss漏洞评分标准
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31507527/article/details/112115949
版权
0x00 漏洞概述CVEIDCVE-2020-1971时 间2020-12-09类 型拒绝服务等 级高危远程利用是影响范围OpenSSL 1.1.1 - 1.1.1hOpenSSL 1.0.2 - 1.0.2w0x01 漏洞详情OpenSSL是一个开放源代码的软件库包,应用程序可以使它来进行安全通信,以避免被窃听,同时它能够确认另一端连接者的身份,被广泛被应用在互联网的网...
摘要由CSDN通过智能技术生成

0x00 漏洞概述

CVE  ID

CVE-2020-1971

时  间

2020-12-09

类   型

拒绝服务

等  级

高危

远程利用

影响范围

OpenSSL 1.1.1 -  1.1.1h

OpenSSL 1.0.2 -  1.0.2w

0x01 漏洞详情

fb0af266a746355652e6a987eae3b137.png

OpenSSL是一个开放源代码的软件库包,应用程序可以使它来进行安全通信,以避免被窃听,同时它能够确认另一端连接者的身份,被广泛被应用在互联网的网页服务器上。

2020年12月08日,OpenSSL官方发布安全公告,OpenSSL 中存在一个拒绝服务漏洞(CVE-2020-1971)。

当OpenSSL 使用的GENERAL_NAME_cmp函数和GENERAL_NAME 函数都包含一个EDIPARTYNAME时,由于GENERAL_NAME_cmp函数未能正确处理,将导致空指针引用。攻击者可以通过构造格式错误的EDIPARTYNAME来利用此漏洞,OpenSSL的解析器将接受该格式,最终可能导致拒绝服务。

OpenSSL使用的GENERAL_NAME_cmp函数有两个作用:

比较可用的CRL和嵌入在X509证书中的CRL分发点之间的CRL分发点名称;

验证时间戳响应令牌签名者是否与时间戳授权名称匹配(通过API函数TS_RESP_verify_response和TS_RESP_verify_token)。

0x02 处置建议

目前OpenSSL已经修复了此漏洞,建议升级至最新版本。

OpenSSL1.1.1i

OpenSSL1.0.2x

(注:自2020年1月1日起,OpenSSL 1.0.2不再受支持,并且官方不再接收更新,建议升级至OpenSSL1.1.1i)

下载链接:

https://www.openssl.org/source/openssl-1.1.1i.tar.gz

0x03 参考链接

https://www.openssl.org/news/vulnerabilities-1.1.1.html#CVE-2020-1971

https://www.openssl.org/news/vulnerabilities-1.0.2.html#CVE-2020-1971

https://www.openssl.org/source/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1971

0x04 时间线

2020-12-08  OpenSSL发布安全公告

2020-12-09  VSRC发布安全通告

0x05 附录

CVSS评分标准官网:http://www.first.org/cvss/

a goner
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cvss漏洞评分标准_CVE202017521 | Apache Groovy漏洞通告
weixin_29547681的博客
12-23 1189
0x00 漏洞概述CVE IDCVE-2020-17521时 间2020-12-07类 型权限升级/信息泄露等 级高危远程利用否影响范围0x01 漏洞详情Groovy 是 Apache 旗下的一门基于 JVM 平台的动态编程语言,在语言的设计上其吸纳了 Python、Ruby 和 Smalltalk 语言的特点,语法简练,开发效率高。2020年12月06日,Ap...
谷歌浏览器又曝漏洞,黑客可劫持目标计算机
10-22 331
如果您在Windows,Mac或Linux计算机上使用Google Chrome浏览器,则需要立即将网络浏览软件更新为Google今天早些时候发布的最新版本。 谷歌今天发布了Chrome版本86.0.4240.111,以修复多个安全高严重性问题,其中包括一个零日漏洞,黑客攻击者利用该漏洞在野外劫持了目标计算机。 被跟踪为CVE-2020-15999的主动利用漏洞是一种内存损坏漏洞,在Freetype中称为堆缓冲区溢出,Freetype是一种流行的开源软件开发库,用于渲染Chrome随附的字体。 该漏洞是由
cvss漏洞评分标准_CVE202017530 | Apache Struts远程代码执行漏洞通告
weixin_36429576的博客
12-23 288
0x00 漏洞概述CVEIDCVE-2020-17530时 间2020-12-08类 型RCE等 级高危远程利用是影响范围Apache struts :2.0.0-2.5.250x01 漏洞详情Apache Struts 2 是一个用于开发Java EE网络应用程序的开源Web框架,其利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。2020年12月0...
一文读懂通用漏洞评分系统CVSS4.0:顺带理清CVE、CWE及其与CVSS之间的关系
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-14 2327
在计算机科学中,漏洞是削弱系统整体安全性的缺陷或故障。漏洞可能是硬件本身或在其上运行的软件的弱点。CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。
【安全】漏洞名词扫盲(POC,EXP,CVE,CVSS等)
热门推荐
qqchaozai的专栏
12-16 2万+
POC(Proof of Concept) 漏洞证明,漏洞报告中,通过一段描述或一个样例来证明漏洞确实存在 EXP(Exploit) 漏洞利用,某个漏洞存在EXP,意思就是该漏洞存在公开的利用方式(比如一个脚本) 0DAY 含义是刚刚被发现,还没有被公开的漏洞,也没有相应的补丁程序,威胁极大。 CVE(Common Vulnerabilities & Exposures) 公共漏洞和...
cvss漏洞评分标准_【漏洞通告】CVE20207200 HPE SIM远程代码执行漏洞
weixin_28951683的博客
12-28 828
0x00 漏洞概述CVE IDCVE-2020-7200时 间2020-12-17类 型RCE等 级严重远程利用是影响范围HPE SIM 7.6.X0x01 漏洞详情HPE Systems Insight Manager(SIM)是用于多个HPE服务器、存储和网络产品的管理和远程支持自动化解决方案。2020年12月15日,HPE发布安全公告,公布了SIM中的一个远程代码执...
通用漏洞评估方法CVSS3.0
weixin_33725515的博客
06-11 1956
CVSS,全称Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。CVSS是安全内容自动化协议(SCAP)的一部分,通常CVSS同CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新。1.度量(Metrics)CVSS3.0由三...
面向SaaS云平台的安全漏洞评分方法研究
01-14
对不同的第三方提供的云服务进行漏洞评分是一项充满挑战的任务。针对一些基于云平台的重要因素,例如业务环境...在此基础上开发了VScorer的原型,并且证实它比现有最具有代表性的安全漏洞评分系统CVSS表现得更为出色。
安全漏洞评分系统CVSS
09-28
安全漏洞评分系统CVSS是衡量软件安全漏洞严重性的重要工具,由FIRST组织提出,并成为ITU-T和NIST的推荐标准。CVSS通过一系列量度(Metrics)为漏洞提供0到10的分数,帮助安全专家和企业理解漏洞的潜在危害程度,以便...
CVSS3.0评分指导书说明书
05-12
CVSS3.0使用官方计算公式,结合八大指标的各个选项对应的分数,来确定最终的漏洞评分。此外,伊拉利法则(Eliptical Curve Method)也被用于某些情况下的评分计算。 5. **常见网络攻击类型** - **拒绝服务(DDoS...
畅捷通 T+ 远程代码执行漏洞安全风险通告
08-30
根据CVSS 3.1评分系统,此漏洞被评为高危级别,具有9.8的高分,意味着它存在极高的危害性。攻击者可以不经过用户交互就能利用此漏洞,对系统的机密性、完整性和可用性造成严重影响,可能导致数据泄露、系统瘫痪甚至...
go-cvss:golang的通用漏洞评分系统2.0实现
06-09
golang 的通用漏洞评分系统 2.0 (CVSSv2) 实现。 地位 完全的。 安装 场外,去得到 go get github.com/umisama/go-cvss 用法 简单的例子在这里 import "github.com/umisama/go-cvss" // Create vector with ...
医疗器械网络安全风险评定CVSS打分
ct745363083的博客
01-11 937
为了完成医疗器械软件的网络安全风险评定相关文档,需要进行CVSS评分,这个评分对于第一次做的人来说感觉还是有些迷惑的,查了一些资料,留作参考。CVSS 指的是 Common Vulnerability Scoring System,即通用漏洞评分系统。它是一种用于评估和量化计算机系统和网络设备安全性的开放标准。CVSS 的主要目的是为安全专业人员提供一个共享的、一致的框架,以评估和比较安全漏洞的严重性。CVSS评分网址:https://www.first.org/cvss/calculator/3.1 如下
「 网络安全常用术语解读 」通用漏洞评分系统CVSS详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-11 8192
CVSS全称是Common Vulnerability Scoring System,中文翻译为通用漏洞评分系统,CVSS是一个用于沟通软件漏洞特征和严重性的开放框架,它由FIRST(Forum of Incident Response and Security Teams)定义和维护。CVSS提供了一种方法来获取漏洞的主要特征,并生成反映其严重性的数值评分,取值范围[0,10],取值越高表明漏洞越严重,主要用于帮助组织或企业在漏洞管理流程中评估与定级漏洞
通用弱点评价体系(CVSS)简介
xp6033的专栏
11-01 1552
http://www.xfocus.net一、综述弱点(vulnerabilities)是网络安全中的一个重要因素,在多种安全产品(如漏洞扫描、入侵检测、防病毒、补丁管理等)中涉及到对弱点及其可能造成的影响的评价。但目前业界并没有通用统一的评价体系标准。通用弱点评价体系(CVSS)是由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的标准。利用该标准,可以对
CVSS评分策略分析及近年来满分漏洞盘点
C20220511的博客
05-13 9304
01 引言 近两年正如许多安全公司的研究员亲身经历的那样,网络攻击量显著增加,重大漏洞被相继爆出并伴随着在野利用。如去年年底的log4shell(CVE-2021-44228)和今年爆出的spring4shell(CVE-2022-22965)在安全圈里都掀起了不小的风浪。由于在分析spring漏洞时cve编号还没有出来,自评影响力也没那么“核弹级”,后续就没怎么关注这个漏洞的。最近突然想看看这个漏洞CVSS评分,看看官方是怎么给这漏洞做影响力定义的。查看后发现该漏洞CVSSV2.0评分为7.5,CV.
cvss评分及漏洞矢量
General_zy的博客
10-25 5013
CVSS2.0对漏洞等级的定义有低、中、高三个级别,CVSS3.0开始补充了“严重”这个级别。C(Confidentiality Impact)代表机密性影响度。A(Availability Impact)代表可用性影响度。PR(Privileges Required)代表权限要求。AC(Attack Complexity)代表攻击复杂度。I(Integrity Impact)代表完整性影响度。AV(Attack Vector)代表攻击途径。S(Scope)代表作用域。
OpenSSL 拒绝服务漏洞
weixin_30609287的博客
12-05 393
漏洞名称: OpenSSL 拒绝服务漏洞 CNNVD编号: CNNVD-201312-058 发布时间: 2013-12-05 更新时间: 2013-12-05 危害等级: 漏洞类型: 威胁类型: 远程 CVE编号: 漏洞来源: AKAT-1, 227...
CVSS3.0详解:公开漏洞评估框架与严重性评分指南
其目的是提供一个标准化的方法来评估软件漏洞的特性及其严重性,以便于确定修补的优先级。CVSS 3.0分为三个主要的度量组:基础(Base)、时间(Temporal)和环境(Environmental)。 基础度量衡量的是漏洞本身的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值