CVE-2021-3449 OpenSSL拒绝服务漏洞复现

1，漏洞描述

OpenSSL 是一个常用的软件库，用于构建需要建立安全通信的网络应用和服务器。当前，OpenSSL 项目针对潜伏在 OpenSSL 产品中的高危漏洞 CVE-2021-3449具体如下。
CVE-2021-3449：由于 NULL 指针取消引用而导致的拒绝服务（DoS）漏洞，只影响 OpenSSL 服务器实例，而不影响客户端

2，影响范围

OpenSSL 1.1.1到1.1.1j版本

3，复现准备

服务器：win7虚拟机
攻击机：kali
exp：cve-2021-3449-main

4，复现过程

1， win7虚拟机安装phpstudy （https://www.xp.cn/）

2， 新建网站，开启https

3， 启动服务

4， 浏览器访问网站，可正常访问，靶机环境已搭建成功

5， 攻击机kali安装go环境（注意：安装新版）

6， 下载测试脚本https://github.com/terorie/cve-2021-3449

7， 替换命令：go env -w GOPROXY=https://goproxy.cn
8， 运行攻击命令

9， 查看网站服务已停止

10， 访问网站已无法访问

11， 至此整个漏洞攻击过程已完成

5，漏洞修复

1， OpenSSL升级至1.1.1k版本
2， 将peer_sigalgslen 设置为0

6，参考链接

https://www.openssl.org/news/vulnerabilities.html