openssl升级_CVE-2020-1967: openssl 拒绝服务漏洞通告

0x01 漏洞背景

2020年04月21日, 360CERT监测发现 openssl 官方发布了 TLS 1.3 组件拒绝服务漏洞 的风险通告,该漏洞编号为 CVE-2020-1967,漏洞等级:高危。

openssl 是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信。这个包广泛被应用在互联网的网页服务器上。其主要库是以C语言所写成,实现了基本的加密功能,实现了SSL与TLS协议。openssl可以运行在OpenVMS、 Microsoft Windows以及绝大多数类Unix操作系统上(包括Solaris,Linux,MacOS与各种版本的开放源代码BSD操作系统)。

TLS(Transport Layer Security) 是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。在浏览器、电子邮件、即时通信、VoIP、网络传真等应用程序中都广泛支持这个协议。该协议当前已成为互联网上保密通信的工业标准。

openssl 存在 拒绝服务漏洞,攻击者 通过 发送特制的请求包,可以造成 目标主机服务崩溃或拒绝服务

对此,360CERT建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。

0x02 风险等级

360CERT对该漏洞的评定结果如下

699ab7eac1a7c3be87de238b194687c8.png

0x03 漏洞详情

官方描述

服务端或客户端程序在 SSL_check_chain() 函数处理TLS 1.3握手前后。可能会触发空指针解引用,导致错误处理 tls 扩展 signature_algorithms_cert。当服务端或客户端程序收到一个无效或无法识别的签名算法时可能会引发崩溃或拒绝服务漏洞。

0x04 影响版本

  • openssl:1.1.1d
  • openssl:1.1.1e
  • openssl:1.1.1f

0x05 修复建议

通用修补建议:

升级到 1.1.1d 版本,下载地址为:https://www.openssl.org/source/。

1.0.2及之前版本的用户不受该漏洞影响,但此类版本已经失去支持,建议用户升级到 1.1.1d

0x06 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现 openssl 在全球均有广泛使用,具体分布如下图所示。

a924e83e5bb42cc98a795585d40528c7.png

0x07 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类 漏洞 进行监测,请用户联系相关产品区域负责人获取对应产品。

0x08 时间线

2020-04-21 openssl官方发布安全通告

2020-04-22 360CERT发布预警

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值