中文字幕日韩精品一区二区免费_精品一区二区三区国产精品无卡在_国精品无码专区一区二区三区_国产αv三级中文在线

OpenSSL爆嚴(yán)重DoS和證書(shū)驗(yàn)證漏洞

2022-10-06    分類(lèi): 網(wǎng)站建設(shè)

OpenSSL爆嚴(yán)重DoS和證書(shū)驗(yàn)證漏洞

OpenSSL是一個(gè)功能豐富且自包含的開(kāi)源安全工具箱。它提供的主要功能有:SSL協(xié)議實(shí)現(xiàn)(包括SSLv2、SSLv3和TLSv1)、大量軟算法(對(duì)稱(chēng)/非對(duì)稱(chēng)/摘要)、大數(shù)運(yùn)算、非對(duì)稱(chēng)算法密鑰生成、ASN.1編解碼庫(kù)、證書(shū)請(qǐng)求(PKCS10)編解碼、數(shù)字證書(shū)編解碼、CRL編解碼、OCSP協(xié)議、數(shù)字證書(shū)驗(yàn)證、PKCS7標(biāo)準(zhǔn)實(shí)現(xiàn)和PKCS12個(gè)人數(shù)字證書(shū)格式實(shí)現(xiàn)等功能。OpenSSL采用C語(yǔ)言作為開(kāi)發(fā)語(yǔ)言,這使得它具有優(yōu)秀的跨平臺(tái)性能。OpenSSL支持Linux、UNIX、windows、Mac等平臺(tái)。

3月25日,OpenSSL發(fā)布安全公告,稱(chēng)在更新的1.1.1k版本中修復(fù)了2個(gè)高危安全漏洞:CVE-2021-3449和CVE-2021-3450。

CVE-2021-3449: 該漏洞是空指針間接引用引發(fā)的DoS 漏洞,但該漏洞只影響OpenSSL 服務(wù)器實(shí)例,不影響客戶(hù)端。  CVE-2021-3450: 該漏洞是CA證書(shū)驗(yàn)證不當(dāng)漏洞,既影響服務(wù)器也影響客戶(hù)端實(shí)例。 CVE-2021-3449

 

在重新協(xié)商的過(guò)程上,客戶(hù)端發(fā)送惡意ClientHello 消息就可以觸發(fā)該漏洞,引發(fā)服務(wù)器奔潰。如果TLSv1.2的renegotiation ClientHello 忽略了signature_algorithms 擴(kuò)展,但是包含signature_algorithms_cert 擴(kuò)展,那么空指針間接引用就會(huì)引發(fā)奔潰和DoS 攻擊。

該漏洞影響啟用了TLSv1.2和重新協(xié)商的OpenSSL 1.1.1到1.1.1j版本,漏洞不影響OpenSSL 客戶(hù)端。由于TLSv1.2和重新協(xié)商是OpenSSL 服務(wù)器的默認(rèn)配置,因此許多服務(wù)器都受到該漏洞的影響。

修復(fù)該DoS bug只需要一行代碼,具體來(lái)說(shuō)就是將peer_sigalgslen 設(shè)置為0。

OpenSSL爆嚴(yán)重DoS和證書(shū)驗(yàn)證漏洞

CVE-2021-3449補(bǔ)丁

CVE-2021-3450

 

CVE-2021-3450漏洞是CA 證書(shū)驗(yàn)證繞過(guò)漏洞,與X509_V_FLAG_X509_STRICT flag有關(guān)。該flag是OpenSSL 用來(lái)禁用損壞的證書(shū)流,并需要證書(shū)通過(guò)X509 規(guī)則的驗(yàn)證。

但是由于一個(gè)回歸bug的存在,OpenSSL v1.1.1h及以上版本受到該漏洞的影響。幸運(yùn)的是該flag在這些版本中并不是默認(rèn)設(shè)置的。從OpenSSL v 1.1.1h版本開(kāi)始,會(huì)對(duì)編碼的橢圓曲線參數(shù)進(jìn)行額外的嚴(yán)格檢查。但是在檢查的實(shí)現(xiàn)中存在錯(cuò)誤,導(dǎo)致之前的確認(rèn)鏈上證書(shū)的檢查結(jié)果是之前覆寫(xiě)的有效的CA 證書(shū)。因此,OpenSSL 實(shí)例無(wú)法檢查非CA 證書(shū)不能是其他證書(shū)的發(fā)布者,因此攻擊者可以利用這個(gè)漏洞來(lái)進(jìn)行證書(shū)繞過(guò)。

總結(jié)

 

這兩個(gè)漏洞都不影響OpenSSL 1.0.2版本,新發(fā)布的OpenSSL 1.1.1k版本修復(fù)了這兩個(gè)漏洞,研究人員建議用戶(hù)盡快進(jìn)行升級(jí)更新,以保護(hù)其OpenSSL實(shí)例。

本文名稱(chēng):OpenSSL爆嚴(yán)重DoS和證書(shū)驗(yàn)證漏洞
當(dāng)前鏈接:http://m.rwnh.cn/news34/202534.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供靜態(tài)網(wǎng)站品牌網(wǎng)站設(shè)計(jì)、域名注冊(cè)、微信小程序定制網(wǎng)站、ChatGPT

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

成都做網(wǎng)站
依安县| 突泉县| 长乐市| 高唐县| 二手房| 涿州市| 泰来县| 安乡县| 广丰县| 乐清市| 鹤壁市| 仪陇县| 武义县| 河池市| 温州市| 砀山县| 镇远县| 莱州市| 泽州县| 余干县| 波密县| 于田县| 洛扎县| 黄平县| 德兴市| 修文县| 宝坻区| 昆山市| 金堂县| 玛纳斯县| 锦州市| 油尖旺区| 海门市| 东辽县| 蒙阴县| 广平县| 建瓯市| 镇赉县| 吴江市| 噶尔县| 淮滨县|