cvss漏洞评分标准_CVE20201971 | OpenSSL拒绝服务漏洞通告

0x00 漏洞概述CVEIDCVE-2020-1971时 间2020-12-09类 型拒绝服务等 级高危远程利用是影响范围OpenSSL 1.1.1 - 1.1.1hOpenSSL 1.0.2 - 1.0.2w0x01 漏洞详情OpenSSL是一个开放源代码的软件库包,应用程序可以使它来进行安全通信,以避免被窃听,同时它能够确认另一端连接者的身份,被广泛被应用在互联网的网...
摘要由CSDN通过智能技术生成

0x00 漏洞概述

CVE  ID

CVE-2020-1971

时  间

2020-12-09

类   型

拒绝服务

等  级

高危

远程利用

影响范围

OpenSSL 1.1.1 -  1.1.1h

OpenSSL 1.0.2 -  1.0.2w

0x01 漏洞详情

fb0af266a746355652e6a987eae3b137.png

OpenSSL是一个开放源代码的软件库包,应用程序可以使它来进行安全通信,以避免被窃听,同时它能够确认另一端连接者的身份,被广泛被应用在互联网的网页服务器上。

2020年12月08日,OpenSSL官方发布安全公告,OpenSSL 中存在一个拒绝服务漏洞(CVE-2020-1971)。

当OpenSSL 使用的GENERAL_NAME_cmp函数和GENERAL_NAME 函数都包含一个EDIPARTYNAME时,由于GENERAL_NAME_cmp函数未能正确处理,将导致空指针引用。攻击者可以通过构造格式错误的EDIPARTYNAME来利用此漏洞,OpenSSL的解析器将接受该格式,最终可能导致拒绝服务。

OpenSSL使用的GENERAL_NAME_cmp函数有两个作用:

比较可用的CRL和嵌入在X509证书中的CRL分发点之间的CRL分发点名称;

验证时间戳响应令牌签名者是否与时间戳授权名称匹配(通过API函数TS_RESP_verify_response和TS_RESP_verify_token)。

0x02 处置建议

目前OpenSSL已经修复了此漏洞,建议升级至最新版本。

OpenSSL1.1.1i

OpenSSL1.0.2x

(注:自2020年1月1日起,OpenSSL 1.0.2不再受支持,并且官方不再接收更新,建议升级至OpenSSL1.1.1i)

下载链接:

https://www.openssl.org/source/openssl-1.1.1i.tar.gz

0x03 参考链接

https://www.openssl.org/news/vulnerabilities-1.1.1.html#CVE-2020-1971

https://www.openssl.org/news/vulnerabilities-1.0.2.html#CVE-2020-1971

https://www.openssl.org/source/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1971

0x04 时间线

2020-12-08  OpenSSL发布安全公告

2020-12-09  VSRC发布安全通告

0x05 附录

CVSS评分标准官网:http://www.first.org/cvss/

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值