当前位置:   article > 正文

openssl 版本_漏洞通告 | OpenSSL 拒绝服务漏洞(CVE20201971)

openssl拒绝服务漏洞(cve-2020-1971)

c9faaf3f42e222f0ea16b47951a20e55.png

漏洞背景

2020年12月08日,OpenSSL官方发布安全公告,披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp拒绝服务漏洞。
OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。

漏洞描述

2020年12月08日,OpenSSL官方发布安全公告,披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp拒绝服务漏洞。
GENERAL_NAME_cmp 函数在OpenSSL中主要作用为以下两点
1. 比较X.509证书内的证书吊销列表和证书吊销分发节点中名称
2. 验证响应令牌时间戳的签名者名称是否和时间戳许可者的名称一致
当两个GENERAL_NAME(X.509 GeneralName类型标识)都包含同一个EDIPARTYNAME时,由于GENERAL_NAME_cmp函数未能正确处理,从而导致空指针引用,可能导致拒绝服务。

漏洞危害

影响版本

OpenSSL 1.1.1 ~ 1.1.1h
OpenSSL 1.0.2 ~ 1.0.2w

解决方案

  • 目前受到支持的OpenSSL 版本有1.1.1和1.0.2,建议所有用户升级到最新版本。

  • 安全版本:
    OpenSSL 1.1.1i
    OpenSSL 1.0.2x

  • 下载链接:
    https://www.openssl.org/source/

参考信息

  • https://www.openssl.org/news/vulnerabilities-1.1.1.html#CVE-2020-1971

  • https://www.openssl.org/news/vulnerabilities-1.0.2.html#CVE-2020-1971

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1971

山石网科安全技术研究院简称“山石安研院”正式成立于2020年4月,是山石网科的信息安全智库部门,其前身是原安全服务部下的安全研究团队。山石安研院整体架构包括干将、莫邪两大安全实验室,以及安全预警分析、高端攻防培训两支独立的技术团队。安研院主要负责反APT跟踪和研究、出战及承办全球攻防赛事、高端攻防技术培训、全球中英文安全预警分析发布、各类软硬件漏洞挖掘和利用研究、承接国家网络安全相关课题、不定期发布年度或半年度的各类技术报告及公司整体攻防能力展现。技术方向包括移动安全、虚拟化安全、工控安全、物联安全、区块链安全、协议安全、源码安全、反APT及反窃密。

自2015年以来为多省公安厅提供技术支撑工作,为上合峰会、财富论坛、金砖五国等多次重大活动提供网络安保支撑工作。在多次攻防赛事中连获佳绩,网安中国行第一名,连续两届红帽杯冠军、网鼎杯线上第一名,在补天杯、极棒杯、全国多地的护网演习等也都获得优秀的成绩,每年获得大量的CNVD、CNNVD、CVE证书或编号。

如需帮助请咨询 hslab@hillstonenet.com

57866f93ddeedadc48b4422ca7202b71.png

本文内容由网友自发贡献,转载请注明出处:https://www.wpsshop.cn/w/运维做开发/article/detail/847483
推荐阅读
相关标签
  

闽ICP备14008679号